Auf dieser Seite
Verständnis des PVLAN-Datenverkehrsflusses über mehrere Switches
Grundlegendes zu sekundären VLAN-Trunk-Ports und promiscuous Access-Ports auf PVLANs
Gemeinsame Verwendung von 802.1X-Authentifizierung und privaten VLANs auf derselben Schnittstelle
Erstellen eines privaten VLANs auf einem einzigen Switch mit ELS-Unterstützung (CLI-Prozedur)
Erstellen eines privaten VLANs auf einem einzigen QFX-Switch
Erstellen eines privaten VLANs auf einem einzigen Switch der EX-Serie (CLI-Prozedur)
Erstellen eines privaten VLANs für mehrere Switches der QFX-Serie
Erstellen eines privaten VLANs, das mehrere Switches der EX-Serie umfasst (CLI-Prozedur)
Beispiel: Konfigurieren eines privaten VLANs auf einem einzigen Switch mit ELS-Unterstützung
Beispiel: Konfigurieren eines privaten VLANs auf einem einzigen Switch der QFX-Serie
Beispiel: Konfigurieren eines privaten VLANs auf einem einzigen Switch der EX-Serie
Beispiel: Konfigurieren eines privaten VLANs, das mehrere QFX-Switches umspannt
Beispiel: Konfigurieren eines privaten VLANs für mehrere Switches der EX-Serie
Überprüfen, ob ein privates VLAN auf einem Switch funktioniert
Private VLANs
Grundlegendes zu privaten VLANs
VLANs schränken Broadcasts auf bestimmte Benutzer ein. Private VLANs (PVLANs) gehen noch einen Schritt weiter, indem sie die Kommunikation innerhalb eines VLANs einschränken. PVLANs erreichen dies, indem sie den Datenverkehr über ihre Mitglieds-Switch-Ports (die als private Ports bezeichnet werden) beschränken, sodass diese Ports nur mit einem angegebenen Uplink-Trunk-Port oder mit bestimmten Ports innerhalb desselben VLANs kommunizieren. Der Uplink Trunk-Port oder die Link Aggregation Group (LAG) ist normalerweise mit einem Router- oder Firewall-, Server- oder Provider-Netzwerk verbunden. Jeder PVLAN enthält in der Regel viele private Ports, die nur mit einem einzigen Uplink-Port kommunizieren, wodurch die Ports an der Kommunikation untereinander gehindert werden.
PVLANs bieten Layer-2-Isolierung zwischen Ports innerhalb eines VLANs und teilen eine Broadcast-Domain in mehrere separate Broadcast-Subdomains, indem sekundäre VLANs (Community-VLANs und ein isoliertes VLAN) innerhalb eines primären VLANs erstellt werden. Ports innerhalb desselben Community-VLANs können miteinander kommunizieren. Ports in einem isolierten VLAN können nur mit einem einzigen Uplink-Port kommunizieren.
Genau wie normale VLANs sind PVLANs auf Layer 2 isoliert und erfordern eine der folgenden Optionen, um Layer-3-Datenverkehr zwischen den sekundären VLANs zu routen:
Eine promiscuous Port-Verbindung mit einem Router
Eine routingfähige VLAN-Schnittstelle (RVI)
Um Layer-3-Datenverkehr zwischen sekundären VLANs zu routen, benötigt ein PVLAN nur eine der oben genannten Optionen. Wenn Sie eine RVI verwenden, können Sie trotzdem eine promiscuous Port-Verbindung zu einem Router implementieren, wobei der promiscuous Port so eingerichtet ist, dass nur Datenverkehr verarbeitet wird, der in das PVLAN ein- und verlässt.
PVLANs sind nützlich, um den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und die Kommunikation zwischen bekannten Hosts einzuschränken. Service Provider verwenden PVLANs, um ihre Kunden voneinander zu isolieren. Eine weitere typische Verwendung für ein PVLAN ist die Bereitstellung von Internetzugang pro Zimmer in einem Hotel.
Sie können ein PVLAN so konfigurieren, dass Switches umspannen, die PVLANs unterstützen.
In diesem Thema werden die folgenden Konzepte für PVLANs auf Switches der EX-Serie erläutert:
- Vorteile von PVLANs
- Typische Struktur und primäre Anwendung von PVLANs
- Typische Struktur und primäre Anwendung von PVLANs auf Routern der MX-Serie
- Typische Struktur und primäre Anwendung von PVLANs auf Switches der EX-Serie
- Routing zwischen isolierten und Community-VLANs
- PVLANs verwenden 802.1Q-Tags zur Identifizierung von Paketen
- PVLANs nutzen IP-Adressen effizient
- PVLAN-Porttypen und Weiterleitungsregeln
- Erstellen eines PVLAN
- Einschränkungen privater VLANs
Vorteile von PVLANs
Die Notwendigkeit, ein einzelnes VLAN zu trennen, ist besonders nützlich in den folgenden Bereitstellungsszenarien:
Serverfarmen: Ein typischer Internet service Provider verwendet eine Serverfarm, um Webhosting für zahlreiche Kunden bereitzustellen. Die Suche nach verschiedenen Servern in einer einzigen Serverfarm ermöglicht eine einfache Verwaltung. Sicherheitsbedenken entstehen, wenn sich alle Server im selben VLAN befinden, da Layer-2-Broadcasts an alle Server im VLAN gehen.
Metropolitan Ethernet-Netzwerke: Ein Metro-Service Provider bietet Layer-2-Ethernet-Zugang für verschiedene Haushalte, Mietgemeinschaften und Unternehmen. Die herkömmliche Lösung, ein VLAN pro Kunde bereitzustellen, ist nicht skalierbar und schwierig zu verwalten, was zu einer potenziellen Verschwendung von IP-Adressen führt. PVLANs bieten eine sicherere und effizientere Lösung.
Typische Struktur und primäre Anwendung von PVLANs
Ein PVLAN kann auf einem einzigen Switch konfiguriert oder für mehrere Switches konfiguriert werden. Die Arten von Domänen und Ports sind:
Primäres VLAN: Das primäre VLAN des PVLAN wird mit einem 802.1Q-Tag (VLAN-ID) für das gesamte PVLAN definiert. Das primäre PVLAN kann mehrere sekundäre VLANs (ein isoliertes VLAN und mehrere Community-VLANs) enthalten.
Isoliertes VLAN/isolierter Port: Ein primäres VLAN kann nur ein isoliertes VLAN enthalten. Eine Schnittstelle innerhalb eines isolierten VLANs kann Pakete nur an einen promiscuous Port oder den ISL-Port (Inter-Switch Link) weiterleiten. Eine isolierte Schnittstelle kann Pakete nicht an eine andere isolierte Schnittstelle weiterleiten. und eine isolierte Schnittstelle kann keine Pakete von einer anderen isolierten Schnittstelle empfangen. Wenn ein Kundengerät nur Zugriff auf einen Gateway-Router haben muss, muss das Gerät an einen isolierten Trunk-Port angeschlossen sein.
Community-VLAN/Community-Port: Sie können mehrere Community-VLANs in einem einzigen PVLAN konfigurieren. Eine Schnittstelle innerhalb eines bestimmten Community-VLANs kann Layer-2-Kommunikation mit jeder anderen Schnittstelle herstellen, die zum gleichen Community-VLAN gehört. Eine Schnittstelle innerhalb eines Community-VLANs kann auch mit einem promiscuous Port oder dem ISL-Port kommunizieren. Wenn Sie beispielsweise zwei Kundengeräte haben, die sie von anderen Kundengeräten isolieren müssen, die aber miteinander kommunizieren können müssen, verwenden Sie Community-Ports.
Promiscuous Port: Ein promiscuous Port verfügt über Layer-2-Kommunikation mit allen Schnittstellen im PVLAN, unabhängig davon, ob eine Schnittstelle zu einem isolierten VLAN oder einem Community-VLAN gehört. Ein promiscuous Port ist Mitglied des primären VLANs, ist aber nicht in einer sekundären Subdomäne enthalten. Layer-3-Gateways, DHCP-Server und andere vertrauenswürdige Geräte, die mit Endgeräten kommunizieren müssen, sind in der Regel mit einem promiscuous Port verbunden.
Inter-Switch Link (ISL): Ein ISL ist ein Trunk-Port, der mehrere Switches in einem PVLAN verbindet und zwei oder mehr VLANs enthält. Sie ist nur erforderlich, wenn ein PVLAN mehrere Switches umfasst.
Das konfigurierte PVLAN ist die primäre Domain (primäres VLAN). Innerhalb des PVLAN konfigurieren Sie sekundäre VLANs, die zu Subdomänen werden, die in der primären Domäne verschachtelt sind. Ein PVLAN kann auf einem einzigen Switch konfiguriert oder für mehrere Switches konfiguriert werden. Das in Abbildung 1 dargestellte PVLAN umfasst zwei Switches mit einer primären PVLAN-Domain und verschiedenen Subdomains.
Wie in den Beispielen Abbildung 3dargestellt, hat ein PVLAN nur eine primäre Domain und mehrere sekundäre Domänen. Die Arten von Domänen sind:
Primäres VLAN– VLAN zur Weiterleitung von Frames im Downstream an isolierte VLANs und Community-VLANs. Das primäre VLAN des PVLAN ist mit einem 802.1Q-Tag (VLAN-ID) für das komplette PVLAN definiert. Das primäre PVLAN kann mehrere sekundäre VLANs (ein isoliertes VLAN und mehrere Community-VLANs) enthalten.
Sekundäres isoliertes VLAN– VLAN, das Pakete nur vom primären VLAN empfängt und Frames upstream an das primäre VLAN weiterleite. Das isolierte VLAN ist ein sekundäres VLAN, das innerhalb des primären VLANs eingebettet ist. Ein primäres VLAN kann nur ein isoliertes VLAN enthalten. Eine Schnittstelle innerhalb eines isolierten VLANs (isolierte Schnittstelle) kann Pakete nur an einen promiscuous Port oder den PVLAN-Trunk-Port weiterleiten. Eine isolierte Schnittstelle kann Pakete nicht an eine andere isolierte Schnittstelle weiterleiten. eine isolierte Schnittstelle kann auch nicht Pakete von einer anderen isolierten Schnittstelle empfangen. Wenn ein Kundengerät nur Zugriff auf einen Router haben muss, muss das Gerät an einen isolierten Trunk-Port angeschlossen sein.
Sekundäres isoliertes Interswitch-VLAN – VLAN, das verwendet wird, um isolierten VLAN-Datenverkehr von einem Switch über PVLAN-Trunk-Ports von einem Switch zum anderen weiterzuleiten. 802.1Q-Tags sind für isolierte VLANs zwischen Switches erforderlich, da IEEE 802.1Q einen internen Tagging-Mechanismus verwendet, mit dem ein Trunkinggerät eine Registerkarte für VLAN-Frame-Identifizierung mit 4 Byte in den Paket-Header einfügt. Ein isoliertes Interswitch-VLAN ist ein sekundäres VLAN, das innerhalb des primären VLANs verschachtelt ist.
Sekundäres Community-VLAN – VLAN wurde verwendet, um Frames zwischen Mitgliedern einer Community (einer Teilmenge der Benutzer innerhalb des VLANs) zu transportieren und Frames vor dem primären VLAN weiterzuleiten. Ein Community-VLAN ist ein sekundäres VLAN, das innerhalb des primären VLANs eingebettet ist. Sie können mehrere Community-VLANs in einem einzigen PVLAN konfigurieren. Eine Schnittstelle innerhalb eines bestimmten Community-VLANs kann Layer-2-Kommunikation mit jeder anderen Schnittstelle herstellen, die zum gleichen Community-VLAN gehört. Eine Schnittstelle innerhalb eines Community-VLANs kann auch mit einem promiscuous Port oder dem PVLAN-Trunk-Port kommunizieren.
Abbildung 2 zeigt ein PVLAN, das mehrere Switches umspannt, wobei das primäre VLAN (100) zwei Community-Domänen (300 und 400) und eine isolierte Interswitch-Domain enthält.
Primäre und sekundäre VLANs zählen auf die Grenze von 4089 VLANs, die auf der QFX-Serie unterstützt werden. Zum Beispiel zählt jedes VLAN in Abbildung 2 mit diesem Limit.
Typische Struktur und primäre Anwendung von PVLANs auf Routern der MX-Serie
Das konfigurierte PVLAN wird zur primären Domäne, und sekundäre VLANs werden zu Subdomänen, die innerhalb der primären Domäne verschachtelt sind. Ein PVLAN kann auf einem einzigen Router erstellt werden. Das in Abbildung 3 dargestellte PVLAN umfasst einen Router mit einer primären PVLAN-Domain und mehreren sekundären Subdomänen.
Die Arten von Domänen sind:
Primäres VLAN– VLAN zur Weiterleitung von Frames im Downstream an isolierte VLANs und Community-VLANs.
Sekundäres isoliertes VLAN– VLAN, das Pakete nur vom primären VLAN empfängt und Frames upstream an das primäre VLAN weiterleite.
Isoliertes sekundäres Interswitch-VLAN – VLAN zur Weiterleitung isolierten VLAN-Datenverkehrs von einem Router zum anderen über PVLAN-Trunk-Ports.
Sekundäres Community-VLAN – VLAN wird verwendet, um Frames zwischen Mitgliedern einer Community zu transportieren, die eine Untermenge von Benutzern innerhalb des VLANs ist, und um Frames vor dem primären VLAN weiterzuleiten.
PVLANs werden auf MX80-Routern, mx240-, MX480- und MX960-Routern mit DPCs im erweiterten LAN-Modus, auf Routern der MX-Serie mit MPC1, MPC2 und Adaptive Services PICs unterstützt.
Typische Struktur und primäre Anwendung von PVLANs auf Switches der EX-Serie
Das primäre VLAN des PVLAN ist mit einem 802.1Q-Tag (VLAN-ID) für das komplette PVLAN definiert. Auf EX9200-Switches muss jedes sekundäre VLAN außerdem mit einer eigenen separaten VLAN-ID definiert werden.
Abbildung 4 zeigt ein PVLAN auf einem einzigen Switch, wobei das primäre VLAN (VLAN 100) zwei Community-VLANs (VLAN 300 und VLAN 400) und ein isoliertes VLAN (VLAN 50) enthält.
Abbildung 5 zeigt ein PVLAN, das mehrere Switches umfasst, wobei das primäre VLAN (VLAN 100) zwei Community-VLANs (VLAN 300 und VLAN 400) und ein isoliertes VLAN (VLAN 200) enthält. Es zeigt auch, dass die Switches 1 und 2 über eine Interswitch-Verbindung (PVLAN Trunk Link) verbunden sind.
Außerdem verwenden die in den angezeigten Abbildung 4Abbildung 5 PVLANs einen promiscuous Port, der mit einem Router verbunden ist, um Layer-3-Datenverkehr zwischen der Community und isolierten VLANs zu leiten. Anstatt den promiscuous Port zu verwenden, der mit einem Router verbunden ist, können Sie eine RVI auf dem Switch in Abbildung 4 oder einem der angezeigten Abbildung 5 Switches (auf einigen EX-Switches) konfigurieren.
Um Layer-3-Datenverkehr zwischen isolierten und Community-VLANs zu leiten, müssen Sie entweder einen Router mit einem promiscuous Port verbinden, wie in Abbildung 4 und und Abbildung 5dargestellt, oder eine RVI konfigurieren.
Wenn Sie die RVI-Option auswählen, müssen Sie einen RVI für das primäre VLAN in der PVLAN-Domäne konfigurieren. Dieser RVI dient der gesamten PVLAN-Domain, unabhängig davon, ob die Domain einen oder mehrere Switches umfasst. Nach der Konfiguration der RVI werden Layer-3-Pakete, die von den sekundären VLAN-Schnittstellen empfangen werden, zugeordnet und von der RVI geroutet.
Bei der Einrichtung des RVI müssen Sie auch proxy Address Resolution Protocol (ARP) aktivieren, damit die RVI ARP-Anfragen verarbeiten kann, die von den sekundären VLAN-Schnittstellen empfangen werden.
Informationen zur Konfiguration von PVLANs auf einem einzelnen Switch und auf mehreren Switches finden Sie unter Erstellen eines privaten VLANs auf einem einzigen Switch der EX-Serie (CLI-Prozedur). Informationen zur Konfiguration einer RVI finden Sie unter Konfigurieren einer Routing-VLAN-Schnittstelle in einem privaten VLAN auf einem Switch der EX-Serie.
Routing zwischen isolierten und Community-VLANs
Um Layer-3-Datenverkehr zwischen isolierten und Community-VLANs zu leiten, müssen Sie einen externen Router oder Switch mit einem Trunk-Port des primären VLANs verbinden. Der Trunk-Port des primären VLANs ist ein promiscuous Port; daher kann es mit allen Ports im PVLAN kommunizieren.
PVLANs verwenden 802.1Q-Tags zur Identifizierung von Paketen
Wenn Pakete mit einem kundenspezifischen 802.1Q-Tag markiert werden, identifiziert dieses Tag die Eigentümerschaft der Pakete für jeden Switch oder Router im Netzwerk. Manchmal werden 802.1Q-Tags in PVLANs benötigt, um Pakete aus verschiedenen Subdomains im Auge zu behalten. Tabelle 1 gibt an, wenn ein VLAN 802.1Q-Tag im primären VLAN oder auf sekundären VLANs benötigt wird.
| Auf einem einzigen Switch | Auf mehreren Switches | |
|---|---|---|
| Primäres VLAN | Geben Sie ein 802.1Q-Tag durch Festlegen einer VLAN-ID an. |
Geben Sie ein 802.1Q-Tag durch Festlegen einer VLAN-ID an. |
| Sekundäres VLAN | Kein Tag auf VLANs erforderlich. |
VLANs benötigen 802.1Q-Tags:
|
PVLANs nutzen IP-Adressen effizient
PVLANs sorgen für die IP-Adressenkonservierung und die effiziente Zuweisung von IP-Adressen. In einem typischen Netzwerk entsprechen VLANs normalerweise einem einzelnen IP-Subnetz. In PVLANs gehören die Hosts in allen sekundären VLANs zum selben IP-Subnetz, da das Subnetz dem primären VLAN zugewiesen ist. Hosts innerhalb des sekundären VLANs werden ip-Adressen basierend auf ip-Subnetzen zugewiesen, die mit dem primären VLAN verbunden sind, und ihre IP-Subnet-Maskierungsinformationen entsprechen denen des primären VLAN-Subnetzes. Jedes sekundäre VLAN ist jedoch eine separate Broadcast-Domain.
PVLAN-Porttypen und Weiterleitungsregeln
PVLANs können bis zu sechs verschiedene Porttypen verwenden. Das dargestellteAbbildung 2 Netzwerk verwendet einen promiscuous Port, um Informationen an den Router zu übertragen, Community-Ports, um die Finanz- und HR-Communitys mit ihren jeweiligen Switches zu verbinden, isolierte Ports zur Verbindung der Server und einen PVLAN-Trunk-Port, um die beiden Switches zu verbinden. PVLAN-Ports haben unterschiedliche Einschränkungen:
Promiscuous Trunk-Port: Ein promiscuous Port verfügt über Layer-2-Kommunikation mit allen Schnittstellen im PVLAN, unabhängig davon, ob die Schnittstelle zu einem isolierten VLAN oder einem Community-VLAN gehört. Ein promiscuous Port ist Mitglied des primären VLANs, ist aber nicht in einer der sekundären Subdomänen enthalten. Layer-3-Gateways, DHCP-Server und andere vertrauenswürdige Geräte, die mit Endgeräten kommunizieren müssen, sind in der Regel mit einem promiscuous Port verbunden.
PVLAN Trunk Link: Die PVLAN-Trunk-Verbindung, die auch als Interswitch-Verbindung bezeichnet wird, ist nur erforderlich, wenn ein PVLAN so konfiguriert ist, dass er mehrere Switches umspannt. Der PVLAN-Trunk-Link verbindet die verschiedenen Switches, aus denen das PVLAN besteht.
PVLAN-Trunk-Port: In Multiswitch-PVLAN-Konfigurationen ist ein PVLAN-Trunk-Port erforderlich, um die Switches zu umspannen. Der PVLAN-Trunk-Port ist Mitglied aller VLANs innerhalb des PVLAN (d. h. des primären VLANs, der Community-VLANs und des isolierten VLANs), und er transportiert den Datenverkehr aus dem primären VLAN und allen sekundären VLANs. Es kann mit allen anderen Ports als den isolierten Ports kommunizieren.
Die Kommunikation zwischen einem PVLAN-Trunk-Port und einem isolierten Port erfolgt normalerweise unidirektional. Die Mitgliedschaft eines PVLAN-Trunk-Ports im isolierten Interswitch-VLAN ist nur ausgehend, was bedeutet, dass ein isolierter Port Pakete an einen PVLAN-Trunk-Port weiterleiten kann, ein PVLAN-Trunk-Port jedoch keine Pakete an einen isolierten Port weiterleitet (es sei denn, die Pakete gehen über einen promiscuous Access Port ein und werden daher an alle sekundären VLANs im selben primären VLAN wie der promiscuous Port weitergeleitet).
Sekundärer VLAN-Trunk-Port (nicht dargestellt): Sekundäre Trunk-Ports übertragen sekundären VLAN-Datenverkehr. Für ein bestimmtes privates VLAN kann ein sekundärer VLAN-Trunk-Port den Datenverkehr für nur ein sekundäres VLAN übertragen. Ein sekundärer VLAN-Trunk-Port kann jedoch den Datenverkehr für mehrere sekundäre VLANs übertragen, solange jedes sekundäre VLAN Mitglied eines anderen primären VLANs ist. Ein sekundärer VLAN-Trunk-Port kann beispielsweise den Datenverkehr für ein Community-VLAN übertragen, das Teil des primären VLANs pvlan100 ist, und auch den Datenverkehr für ein isoliertes VLAN übertragen, das Teil des primären VLAN pvlan400 ist.
Gemeinschaftshafen– Gemeinschaftshäfen kommunizieren untereinander und mit ihren promiscuous Ports. Community-Ports dienen nur einer ausgewählten Gruppe von Benutzern. Diese Schnittstellen sind auf Layer 2 von allen anderen Schnittstellen in anderen Communities oder isolierten Ports innerhalb ihres PVLAN getrennt.
Isolierter Access-Port – Isolierte Ports verfügen nur über Layer-2-Konnektivität mit promiscuous-Ports und PVLAN-Trunk-Ports – ein isolierter Port kann nicht mit einem anderen isolierten Port kommunizieren, selbst wenn diese beiden Ports Mitglieder derselben isolierten VLAN-Domäne (oder interswitch-isolierten VLAN)-Domäne sind. In der Regel ist ein Server wie ein Mailserver oder ein Backup-Server über einen isolierten Port verbunden. In einem Hotel wäre normalerweise jedes Zimmer an einem isolierten Port verbunden, was bedeutet, dass die Kommunikation von Raum zu Raum nicht möglich ist, aber jedes Zimmer kann über den promiscuous Port auf das Internet zugreifen.
Promiscuous Access Port (nicht angezeigt): Diese Ports übertragen nicht getaggten Datenverkehr. Der Datenverkehr, der über einen promiscuous Access Port eingehender wird an alle sekundären VLAN-Ports auf dem Gerät weitergeleitet. Wenn der Datenverkehr an einem VLAN-fähigen Port in das Gerät eintrifft und an einem promiscuous Access Port austritt, wird der Datenverkehr beim Ausgang nicht markiert. Wenn getaggter Datenverkehr an einem promiscuous Access-Port eintrifft, wird der Datenverkehr verworfen.
Interswitch-Link-Port: Ein Interswitch-Link-Port (ISL) ist ein Trunk-Port, der zwei Router verbindet, wenn ein PVLAN diese Router umspannt. Der ISL-Port ist Mitglied aller VLANs innerhalb des PVLAN (das sind das primäre VLAN, die Community-VLANs und das isolierte VLAN).
Die Kommunikation zwischen einem ISL-Port und einem isolierten Port erfolgt unidirektional. Die Mitgliedschaft eines ISL-Ports im isolierten Interswitch-VLAN erfolgt nur aus dem Ausgang, was bedeutet, dass eingehender Datenverkehr auf dem ISL-Port niemals dem isolierten VLAN zugewiesen wird. Ein isolierter Port kann Pakete an einen PVLAN-Trunk-Port weiterleiten, ein PVLAN-Trunk-Port kann jedoch keine Pakete an einen isolierten Port weiterleiten. Tabelle 3 fasst zusammen, ob layer 2-Konnektivität zwischen den verschiedenen Arten von Ports vorhanden ist.
Tabelle 2 fasst die Layer-2-Konnektivität zwischen den verschiedenen Arten von Ports innerhalb eines PVLAN auf Switches der EX-Serie zusammen, die ELS unterstützen.
Vom Porttyp |
An isolierte Ports? |
An promiscuous Ports? |
An Community-Ports? |
Um den Link-Port zwischen switchen? |
|---|---|---|---|---|
Isoliert |
Verweigern |
Zulassen |
Verweigern |
Zulassen |
Promiscuous |
Zulassen |
Zulassen |
Zulassen |
Zulassen |
Community 1 |
Verweigern |
Zulassen |
Zulassen |
Zulassen |
Porttyp |
Promiscuous Trunk |
PVLAN-Trunk |
Sekundärer Trunk |
Community |
Isolierter Zugriff |
Promiscuous-Zugang |
|---|---|---|---|---|---|---|
Promiskuouser Rumpf |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
PVLAN-Bündel |
Ja |
Ja |
Ja |
Ja – nur dieselbe Community |
Ja |
Ja |
Sekundärer Trunk |
Ja |
Ja |
Nicht vorhanden. |
Ja |
Nicht vorhanden. |
Ja |
Community |
Ja |
Ja |
Ja |
Ja – nur dieselbe Community |
Nicht vorhanden. |
Ja |
Isolierter Zugriff |
Ja |
Ja – nur unidirektional |
Nicht vorhanden. |
Nicht vorhanden. |
Nicht vorhanden. |
Ja |
Promiscuous-Zugang |
Ja |
Ja |
Ja |
Ja |
Ja |
Nicht vorhanden. |
Tabelle 4 fasst zusammen, ob layer 2-Konnektivität zwischen den verschiedenen Arten von Ports innerhalb eines PVLAN vorhanden ist oder nicht.
Porttyp Empfänger: → Von:Iceland |
Promiscuous |
Community |
Isoliert |
PVLAN-Trunk |
RVI |
|---|---|---|---|---|---|
Promiscuous |
Ja |
Ja |
Ja |
Ja |
Ja |
Community |
Ja |
Ja – nur dieselbe Community |
Nicht vorhanden. |
Ja |
Ja |
Isoliert |
Ja |
Nicht vorhanden. |
Nicht vorhanden. |
Ja HINWEIS:
Diese Kommunikation erfolgt unidirektional. |
Ja |
PVLAN-Bündel |
Ja |
Ja – nur dieselbe Community |
Ja HINWEIS:
Diese Kommunikation erfolgt unidirektional. |
Ja |
Ja |
RVI |
Ja |
Ja |
Ja |
Ja |
Ja |
Wie in Tabelle 4den Informationen erwähnt, erfolgt die Layer-2-Kommunikation zwischen einem isolierten Port und einem PVLAN-Trunk-Port unidirektional. Das heißt, ein isolierter Port kann nur Pakete an einen PVLAN-Trunk-Port senden, und ein PVLAN-Trunk-Port kann nur Pakete von einem isolierten Port empfangen. Umgekehrt kann ein PVLAN-Trunk-Port keine Pakete an einen isolierten Port senden, und ein isolierter Port kann keine Pakete von einem PVLAN-Trunk-Port empfangen.
Wenn Sie ein primäres VLAN aktivieren no-mac-learning , übernehmen alle isolierten VLANs (oder das isolierte VLAN zwischen Switches) im PVLAN diese Einstellung. Wenn Sie jedoch das Lernen von MAC-Adressen auf community-VLANs deaktivieren möchten, müssen Sie die Konfiguration für jedes dieser VLANs konfigurieren no-mac-learning .
Erstellen eines PVLAN
Das im Abbildung 6 Diagramm dargestellte Flussdiagramm gibt Ihnen einen allgemeinen Überblick über den Prozess zum Erstellen von PVLANs. Wenn Sie Ihre Konfigurationsschritte in der angegebenen Reihenfolge durchführen, verstoßen Sie nicht gegen diese PVLAN-Regeln. (In den PVLAN-Regeln gilt die Konfiguration des PVLAN-Trunk-Ports nur für ein PVLAN, das mehrere Router umspannt.)
Das primäre VLAN muss ein getaggtes VLAN sein.
Wenn Sie eine Community-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN konfigurieren.
Wenn Sie eine Isolations-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN konfigurieren.
Die Konfiguration eines VoIP-VLANs (Voice over IP) auf PVLAN-Schnittstellen wird nicht unterstützt.
Die Konfiguration eines VLANs auf einem einzigen Router ist relativ einfach, wie in Abbildung 6.
Die Konfiguration eines primären VLANs besteht aus den folgenden Schritten:
Konfigurieren Sie den primären VLAN-Namen und das 802.1Q-Tag.
Auf das primäre VLAN festgelegt no-local-switching .
Konfigurieren Sie den promiscuous Trunk-Port und die Access-Ports.
Machen Sie die promiscuous Trunk- und Access-Ports Mitglieder des primären VLANs.
In einem primären VLAN können Sie sekundäre Community-VLANs oder sekundäre isolierte VLANs oder beides konfigurieren. Die Konfiguration eines sekundären Community-VLANs besteht aus den folgenden Schritten:
Konfigurieren Sie ein VLAN mit dem üblichen Prozess.
Konfigurieren Sie Zugriffsschnittstellen für das VLAN.
Weisen Sie dem Community-VLAN ein primäres VLAN zu,
Isolierte VLANs werden intern erstellt, wenn das isolierte VLAN Zugriffsschnittstellen als Member hat und die Option no-local-switching im primären VLAN aktiviert ist.
802.1Q-Tags sind für isolierte VLANs zwischen Switches erforderlich, da IEEE 802.1Q einen internen Tagging-Mechanismus verwendet, mit dem ein Trunkinggerät eine Registerkarte für VLAN-Frame-Identifizierung mit 4 Byte in den Paket-Header einfügt.
Trunk-Ports werden nur für Multirouter-PVLAN-Konfigurationen benötigt – der Trunk-Port transportiert den Datenverkehr aus dem primären VLAN und allen sekundären VLANs.
Einschränkungen privater VLANs
Die folgenden Einschränkungen gelten für private VLAN-Konfigurationen:
Eine Zugriffsschnittstelle kann nur zu einer PVLAN-Domäne gehören, d. h. sie kann nicht an zwei verschiedenen primären VLANs teilnehmen.
Eine Trunkschnittstelle kann Mitglied von zwei sekundären VLANs sein, solange sich die sekundären VLANs in zwei verschiedenen primären VLANs befinden. Eine Trunkschnittstelle darf nicht Mitglied von zwei sekundären VLANs sein, die sich im selben primären VLAN befinden.
Eine einzelne Region des Multiple Spanning Tree Protocol (MSTP) muss auf allen VLANs konfiguriert werden, die im PVLAN enthalten sind.
VLAN Spanning Tree Protocol (VSTP) wird nicht unterstützt.
IGMP-Snooping wird von privaten VLANs nicht unterstützt.
Routing-VLAN-Schnittstellen werden auf privaten VLANs nicht unterstützt
Routing zwischen sekundären VLANs im selben primären VLAN wird nicht unterstützt.
Einige Konfigurationsanweisungen können nicht auf einem sekundären VLAN angegeben werden. Sie können die folgenden Anweisungen auf Hierarchieebene
[edit vlans vlan-name switch-options]nur auf dem primären PVLAN konfigurieren.Wenn Sie ein primäres VLAN in ein sekundäres VLAN ändern möchten, müssen Sie es zunächst in ein normales VLAN ändern und die Änderung bestätigen. Führen Sie beispielsweise folgendes Verfahren aus:
Ändern Sie das primäre VLAN in ein normales VLAN.
Commit der Konfiguration.
Ändern Sie das normale VLAN in ein sekundäres VLAN.
Commit der Konfiguration.
Folgen Sie derselben Commit-Sequenz, wenn Sie ein sekundäres VLAN in ein primäres VLAN ändern möchten. Das heißt, machen Sie das sekundäre VLAN zu einem normalen VLAN und bestätigen Sie diese Änderung, und ändern Sie dann das normale VLAN in ein primäres VLAN.
Die folgenden Funktionen werden auf PVLANs auf Junos-Switches mit Unterstützung für den ELS-Konfigurationsstil nicht unterstützt:
Ausgangs-VLAN-Firewall-Filter
Ethernet-Ringschutz (ERP)
Flexibles VLAN-Tagging
Integrierte Routing- und Bridging -Schnittstelle (IRB)
Multichassis Link Aggregation Groups (MC-LAGs)
Port-Spiegelung
Q-in-Q-Tunneling
VLAN Spanning Tree Protocol (VSTP)
Voice over IP (VoIP)
Sie können die folgenden Anweisungen auf [edit vlans vlan-name switch-options] Hierarchieebene nur auf dem primären PVLAN konfigurieren:
Verständnis des PVLAN-Datenverkehrsflusses über mehrere Switches
In diesem Thema werden drei verschiedene Datenverkehrsströme in einem Beispiel-Multiswitch-Netzwerk dargestellt, das mit einem privaten VLAN (PVLAN) konfiguriert ist. PVLANs schränken den Datenverkehr über ihre Mitglieds-Switch-Ports (die als "private Ports" bezeichnet werden) ein, sodass sie nur mit einem bestimmten Uplink-Trunk-Port oder mit bestimmten Ports innerhalb desselben VLANs kommunizieren.
In diesem Thema wird beschrieben:
- Community-VLAN Senden untaggten Datenverkehrs
- Isoliertes VLAN Senden von nicht getaggten Datenverkehr
- PVLAN Tagged Traffic Sent on a Promiscuous Port
Community-VLAN Senden untaggten Datenverkehrs
In diesem Beispiel sendet ein Mitglied von Community-1 auf Switch 1 unbetagten Datenverkehr über die Schnittstelle ge-0/0/12. Die Pfeile in Abbildung 7 stellen den resultierenden Datenverkehr dar.
In diesem Beispiel wird den Community-1-Mitgliedern eine C-VLAN-ID 100 zugewiesen, die der P-VLAN-ID 10 zugeordnet ist.
In diesem Szenario findet die folgende Aktivität auf Switch 1 statt:
-
Community-1 VLAN auf Schnittstelle ge-0/0/0 und ge-0/0/12: Schulungen
-
pvlan100 auf Schnittstelle ge-0/0/0 und ge-0/0/12: Replikation
-
Community-1 VLAN auf Schnittstelle ge-0/0/12: Empfängt nicht getaggten Datenverkehr
-
Community-1 VLAN-Schnittstelle ge-0/0/0: Datenverkehrsausgang ohne Tag
-
PVLAN-Trunk-Port: Datenverkehr verlässt ge-1/0/2 und von ae0 mit Tag 10
-
Community-2: Schnittstellen empfangen keinen Datenverkehr
-
Isolierte VLANs: Schnittstellen empfangen keinen Datenverkehr
In diesem Szenario findet diese Aktivität auf Switch 3 statt:
-
Community-1 VLAN auf Schnittstelle ge-0/0/23 (PVLAN-Trunk): Schulungen
-
pvlan100 auf Schnittstelle ge-0/0/23: Replikation
-
Community-1 VLAN auf Schnittstellen ge-0/0/9 und ge-0/0/16: Empfangen von nicht getaggten Datenverkehr
-
Promiscuous Trunk-Port: Datenverkehr verlässt ge-0/0/0 mit Tag 10
-
Community-2: Schnittstellen empfangen keinen Datenverkehr
-
Isolierte VLANs: Schnittstellen empfangen keinen Datenverkehr
Isoliertes VLAN Senden von nicht getaggten Datenverkehr
In diesem Szenario sendet ein isoliertes VLAN1 auf Switch 1 an der Schnittstelle ge-1/0/0 ohne Tags Datenverkehr. Die Pfeile in Abbildung 8 stellen diesen Datenverkehr dar.
In diesem Szenario findet die folgende Aktivität auf Switch 1 statt:
Isoliertes VLAN1 auf Schnittstelle ge-1/0/0: Schulungen
pvlan100 auf Schnittstelle ge-1/0/0: Replikation
Datenverkehr verlässt pvlan-trunk ge-1/0/2 und ae0 mit Tag 50
Community-1 und Community-2: Schnittstellen empfangen keinen Datenverkehr
Isolierte VLANs: Schnittstellen empfangen keinen Datenverkehr
In diesem Szenario findet diese Aktivität auf Switch 3 statt:
VLAN auf Schnittstelle ge-0/0/23 (PVLAN Trunk-Port): Schulungen
pvlan100 auf Schnittstelle ge0/0/23: Replikation
Promiscuous Trunk-Port: Datenverkehr verlässt ge-0/0/0 mit Tag 100
Community-1 und Community-2: Schnittstellen empfangen keinen Datenverkehr
Isolierte VLANs: Kein Datenverkehr empfangen
PVLAN Tagged Traffic Sent on a Promiscuous Port
In diesem Szenario wird PVLAN-getaggter Datenverkehr über einen promiscuous Port gesendet. Die Pfeile in Abbildung 9 stellen diesen Datenverkehr dar.
In diesem Szenario findet die folgende Aktivität auf Switch 1 statt:
pvlan100 VLAN auf Schnittstelle ae0 (PVLAN-Trunk): Schulungen
Community-1, Community-2 und alle isolierten VLANs auf Schnittstelle ae0: Replikation
VLAN auf Schnittstelle ae0: Replikation
Datenverkehr verlässt pvlan-trunk ge-1/0/2 mit Tag 100
Community-1 und Community-2: Schnittstellen empfangen Datenverkehr
Isolierte VLANs: Datenverkehr empfangen
In diesem Szenario findet diese Aktivität auf Switch 3 statt:
pvlan100 auf Schnittstelle ge-0/0/0: Schulungen
Community-1, Community-2 und alle isolierten VLANs auf Schnittstellen ge-0/0/0: Replikation
VLAN auf Schnittstelle ge-0/0/0: Replikation
Community-1 und Community-2: Schnittstellen empfangen Datenverkehr
Isolierte VLANs: Datenverkehr empfangen
Grundlegendes zu sekundären VLAN-Trunk-Ports und promiscuous Access-Ports auf PVLANs
VLANs schränken Broadcasts auf bestimmte Benutzer ein. Private VLANs (PVLANs) gehen noch einen Schritt weiter, indem sie ein VLAN in mehrere Broadcast-Subdomains aufteilen und sekundäre VLANs in ein primäres VLAN integrieren. PVLANs beschränken den Datenverkehr über ihre Mitgliedsports, sodass diese Ports nur mit einem bestimmten Uplink-Trunk-Port oder mit bestimmten Ports innerhalb desselben VLANs kommunizieren. Der Uplink-Trunk-Port ist normalerweise mit einem Router-, Firewall-, Server- oder Provider-Netzwerk verbunden. Ein PVLAN enthält in der Regel viele private Ports, die nur mit einem einzigen Uplink kommunizieren, wodurch die Ports an der Kommunikation untereinander gehindert werden.
Sekundäre Trunk-Ports und promiscuous Access Ports erweitern die Funktionalität von PVLANs für die Verwendung in komplexen Bereitstellungen, wie:
VmWare-Infrastrukturumgebungen für Unternehmen
Mandantenfähige Cloud-Services mit VM-Management
Webhosting-Services für mehrere Kunden
Sie können beispielsweise sekundäre VLAN-Trunk-Ports verwenden, um QFX-Geräte mit VMware-Servern zu verbinden, die mit privaten VLANs konfiguriert sind. Sie können promiscuous Access Ports verwenden, um QFX-Geräte mit Systemen zu verbinden, die keine Trunk-Ports unterstützen, aber an privaten VLANs teilnehmen müssen.
In diesem Thema werden die folgenden Konzepte für PVLANs der QFX-Serie erläutert:
PVLAN-Porttypen
PVLANs können die folgenden verschiedenen Porttypen verwenden:
Promiscuous Trunk-Port: Ein promiscuous Port ist ein upstreamer Trunk-Port, der mit einem Router, einer Firewall, einem Server oder einem Provider-Netzwerk verbunden ist. Ein promiscuous Trunk-Port kann mit allen Schnittstellen kommunizieren, einschließlich der isolierten und Community-Ports innerhalb eines PVLAN.
PVLAN-Trunk-Port: In Multiswitch-PVLAN-Konfigurationen ist ein PVLAN-Trunk-Port erforderlich, um die Switches zu umspannen. Der PVLAN-Trunk-Port ist Mitglied aller VLANs innerhalb des PVLAN (d. h. des primären VLANs, der Community-VLANs und des isolierten VLANs), und er transportiert den Datenverkehr aus dem primären VLAN und allen sekundären VLANs. Es kann mit allen Ports kommunizieren.
Die Kommunikation zwischen einem PVLAN-Trunk-Port und einem isolierten Port erfolgt normalerweise unidirektional. Die Mitgliedschaft eines PVLAN-Trunk-Ports im isolierten Interswitch-VLAN ist nur ausgehend, was bedeutet, dass ein isolierter Port Pakete an einen PVLAN-Trunk-Port weiterleiten kann, ein PVLAN-Trunk-Port jedoch keine Pakete an einen isolierten Port weiterleitet (es sei denn, die Pakete gehen über einen promiscuous Access Port ein und werden daher an alle sekundären VLANs im selben primären VLAN wie der promiscuous Port weitergeleitet).
Sekundärer VLAN-Trunk-Port– Sekundäre VLAN-Trunk-Ports übertragen sekundären VLAN-Datenverkehr. Für ein bestimmtes privates (primäres) VLAN kann ein sekundärer VLAN-Trunk-Port den Datenverkehr nur für ein sekundäres VLAN übertragen. Ein sekundärer VLAN-Trunk-Port kann jedoch den Datenverkehr für mehrere sekundäre VLANs übertragen, solange jedes sekundäre VLAN Mitglied eines anderen primären VLANs ist. Ein sekundärer VLAN-Trunk-Port kann beispielsweise den Datenverkehr für ein Community-VLAN übertragen, das Teil des primären VLANs pvlan100 ist, und auch den Datenverkehr für ein isoliertes VLAN übertragen, das Teil des primären VLAN pvlan400 ist.
HINWEIS:Wenn Datenverkehr von einem sekundären VLAN-Trunk-Port ausgeht, trägt er normalerweise das Tag des primären VLANs, dem der sekundäre Port angehört. Verwenden Sie die extend-secondary-vlan-id Anweisung, wenn der Datenverkehr, der von einem sekundären VLAN-Trunk-Port aus geht, seinen sekundären VLAN-Tag beibehalten soll.
Gemeinschaftshafen– Gemeinschaftshäfen kommunizieren untereinander und mit ihren promiscuous Ports. Community-Ports dienen nur einer ausgewählten Gruppe von Benutzern. Diese Schnittstellen sind auf Layer 2 von allen anderen Schnittstellen in anderen Communities oder isolierten Ports innerhalb ihres PVLAN getrennt.
Isolierter Zugriffsport: Isolierte Ports verfügen nur über Layer-2-Konnektivität mit promiscuous Ports und PVLAN-Trunk-Ports. Ein isolierter Access-Port kann nicht mit einem anderen isolierten Port kommunizieren, selbst wenn diese beiden Ports Mitglieder desselben isolierten VLANs sind.
Promiscuous Access Port: Diese Ports übertragen nicht getaggten Datenverkehr und können nur Mitglied eines primären VLANs sein. Der Datenverkehr, der über einen promiscuous Access Port eintrifft, wird an die Ports der sekundären VLANs weitergeleitet, die Mitglieder des primären VLANs sind, dem der promiscuous Access-Port angehört. In diesem Fall führt der Datenverkehr das entsprechende sekundäre VLAN-Tag, wenn er vom sekundären VLAN-Port ausgeht, wenn es sich bei dem sekundären VLAN-Port um einen Trunk-Port handelt. Wenn der Datenverkehr über einen sekundären VLAN-Port eintrifft und an einem promiscuous Access Port austritt, wird der Datenverkehr beim Ausgehenden nicht markiert. Wenn getaggter Datenverkehr an einem promiscuous Access-Port eintrifft, wird der Datenverkehr verworfen.
Informationen zum sekundären VLAN-Trunk-Port
Wenn Sie einen sekundären VLAN-Trunk-Port verwenden, beachten Sie Folgendes:
Sie müssen für jedes primäre VLAN, an dem der sekundäre VLAN-Trunk-Port teilnimmt, eine Isolations-VLAN-ID konfigurieren. Dies gilt auch, wenn die sekundären VLANs, die der sekundäre VLAN-Trunk-Port übertragen wird, auf ein einzelnes Gerät beschränkt sind.
Wenn Sie einen Port als sekundären VLAN-Trunk-Port für ein bestimmtes primäres VLAN konfigurieren, können Sie auch den folgenden physischen Port konfigurieren:
Sekundärer VLAN-Trunk-Port für ein anderes primäres VLAN
PVLAN-Trunk für ein weiteres primäres VLAN
Promiscuous Trunk-Port
Zugriffsport für ein nicht privates VLAN
Datenverkehr, der über einen sekundären VLAN-Trunk-Port (mit einem sekundären VLAN-Tag) eingehender und an einem PVLAN-Trunk-Port eingehender wird, behält das sekundäre VLAN-Tag beim Ausgang bei.
Datenverkehr, der über einen sekundären VLAN-Trunk-Port ein- und ausgehend auf einem promiscuous Trunk-Port eintrifft, hat das entsprechende primäre VLAN-Tag beim Ausgang.
Datenverkehr, der über einen sekundären VLAN-Trunk-Port eintrifft und an einem promiscuous Access-Port austritt, wird beim Ausgang nicht markiert.
Datenverkehr, der über einen promiscuous Trunk-Port mit einem primären VLAN-Tag eingeht und über einen sekundären VLAN-Trunk-Port ausgeht, führt das entsprechende sekundäre VLAN-Tag beim Ausgang. Nehmen Sie beispielsweise an, dass Sie Folgendes auf einem Switch konfiguriert haben:
Primäres VLAN 100
Community-VLAN 200 als Teil des primären VLANs
Promiscuous Trunk-Port
Sekundärer Trunk-Port mit Community-VLAN 200
Wenn ein Paket über den promiscuous Trunk-Port mit dem primären VLAN-Tag 100 eingeht und am sekundären VLAN-Trunk-Port ausgeht, führt es tag 200 beim Ausgang.
Anwendungsszenarien
Auf derselben physischen Schnittstelle können Sie mehrere sekundäre VLAN-Trunk-Ports (in verschiedenen primären VLANs) konfigurieren oder einen sekundären VLAN-Trunk-Port mit anderen ARTEN von VLAN-Ports kombinieren. Die folgenden Anwendungsbeispiele zeigen, wie der Datenverkehr in jedem Fall fließen würde:
- Sekundäre VLAN-Trunks in zwei primären VLANS
- Sekundärer VLAN-Trunk und Promiscuous Trunk
- Sekundärer VLAN-Trunk und PVLAN-Trunk
- Sekundäre VLAN-Trunk- und Nicht-private VLAN-Schnittstelle
- Eingehender Datenverkehr über promiscuous Access Port
Sekundäre VLAN-Trunks in zwei primären VLANS
Für diesen Anwendungsfall nehmen Sie an, dass Sie zwei Switches mit der folgenden Konfiguration haben:
Primäres VLAN pvlan100 mit Tag 100.
Isoliertes VLAN isoliert200 mit Tag 200 ist Mitglied von pvlan100.
Community VLAN comm300 mit Tag 300 ist Mitglied von pvlan100.
Primäres VLAN pvlan400 mit Tag 400.
Isoliertes VLAN isoliert500 mit Tag 500 ist Mitglied von pvlan400.
Community VLAN comm600 mit Tag 600 ist Mitglied von pvlan400.
Die Schnittstelle xe-0/0/0 auf Switch 1 verbindet sich mit einem VMware-Server (nicht dargestellt), der mit den in diesem Beispiel verwendeten privaten VLANs konfiguriert ist. Diese Schnittstelle ist mit sekundären VLAN-Trunk-Ports konfiguriert, um den Datenverkehr für das sekundäre VLAN comm600 und das isolierte VLAN (Tag 200), das Mitglied von pvlan100 ist, zu übertragen.
Die Schnittstelle xe-0/0/0 auf Switch 2 wird als promiscuous Trunk-Port oder promiscuous Access-Port konfiguriert angezeigt. In letzterem Fall können Sie davon ausgehen, dass es eine Verbindung zu einem System herstellt (nicht dargestellt), das keine Trunk-Ports unterstützt, aber mit den in diesem Beispiel verwendeten privaten VLANs konfiguriert ist.
Auf Switch 1 ist xe-0/0/6 Mitglied des Comm600 und als Trunk-Port konfiguriert.
Auf Switch 2 ist xe-0/0/6 Mitglied des Comm600 und als Zugriffsport konfiguriert.
Abbildung 10 zeigt diese Topologie und wie der Datenverkehr für isolierte200 und comm600 nach dem Eingang auf xe-0/0/0 auf Switch 1 fließen würde. Beachten Sie, dass der Datenverkehr nur dort fließen würde, wo die Pfeile anzeigen. So gibt es beispielsweise keine Pfeile für Schnittstellen xe-0/0/2, xe-0/0/3 und xe-0/0/5 auf Switch 1, da auf diesen Schnittstellen keine Pakete austreten würden.
Hier ist der Datenverkehrsfluss für VLAN isoliert200:
Beachten Sie, dass der Datenverkehr für VLAN isoliert200 nicht über den isolierten Zugriffsport xe-0/0/2 auf Switch 1 oder den sekundären VLAN-Trunk-Port xe-0/0/2 auf Switch 2 ausgeht, obwohl diese beiden Ports Mitglieder desselben isolierten VLANs sind.
Hier ist der Datenverkehrsfluss für VLAN comm600:
Nachdem der Datenverkehr für comm600 über den sekundären VLAN-Trunk-Port auf Switch 1 eintrifft, geht er über den PVLAN-Trunk-Port aus, da der PVLAN-Trunk-Port Mitglied aller VLANs ist. Die Pakete behalten den sekundären VLAN-Tag (600) beim Ausgehenden.
Datenverkehr für comm600 geht auch über Community-Port xe-0/0/6 auf Switch 1 aus. Der Datenverkehr wird getaggt, weil der Port als Trunk konfiguriert ist.
Nachdem der Datenverkehr für comm600 über den PVLAN-Trunk-Port auf Switch 2 eintrifft, geht er an xe-0/0/0 aus, wenn diese Schnittstelle als promiscuous Trunk-Port konfiguriert ist.
HINWEIS:Wenn xe-0/0/0 auf Switch 2 als promiscuous Access-Port konfiguriert ist, kann der Port nur an einem primären VLAN teilnehmen. In diesem Fall ist der promiscuous Access Port Teil von pvlan100, sodass der Datenverkehr für comm600 nicht davon ausgeht
Datenverkehr für comm600 geht auch über Community-Port xe-0/0/6 auf Switch 2 aus. In diesem Fall wird der Datenverkehr nicht getaggt, da der Portmodus Zugriff ist.
Sekundärer VLAN-Trunk und Promiscuous Trunk
Nehmen Wir für diesen Anwendungsfall an, dass zwei Switches mit denselben Ports und VLANs wie im vorherigen Anwendungsfall konfiguriert sind, mit einer Ausnahme: In diesem Fall wird xe-0/0/0 auf Switch 1 als sekundärer VLAN-Trunk-Port für VLAN pvlan100 konfiguriert und auch als promiscuous Trunk-Port für pvlan400 konfiguriert.
Abbildung 11 zeigt diese Topologie und wie der Datenverkehr für isolierte200 (Mitglied von pvlan100) und comm600 (Mitglied von pvlan400) nach dem Eingang auf Switch 1 fließen würde.
Der Datenverkehrsfluss für VLAN isoliert200 ist der gleiche wie im vorherigen Anwendungsfall, aber der Datenfluss für comm600 ist anders. Hier ist der Datenverkehrsfluss für VLAN comm600:
Sekundärer VLAN-Trunk und PVLAN-Trunk
Nehmen Wir an, dass zwei Switches mit denselben Ports und VLANs wie in den vorherigen Anwendungsfällen konfiguriert sind, außer dass xe-0/0/0 auf Switch 1 als sekundärer VLAN-Trunk-Port für VLAN pvlan100 und auch als PVLAN-Trunk-Port für pvlan400 konfiguriert ist.
Abbildung 12 zeigt diese Topologie und wie der Datenverkehr für comm300 (Mitglied von pvlan100) und comm600 (Mitglied von pvlan400) nach dem Eingang auf Switch 1 fließen würde.
Hier ist der Datenverkehrsfluss für VLAN comm300:
Hier ist der Datenverkehrsfluss für VLAN comm600:
Nachdem der Datenverkehr für comm600 auf dem PVLAN-Port xe-0/0/0 auf Switch 1 eintrifft, geht er über den Community-Port xe-0/0/6 auf Switch 1 aus. Die Pakete behalten den sekundären VLAN-Tag (600) beim Ausgang, da xe-0/0/6 ein Trunk-Port ist.
Der Datenverkehr für comm600 geht auch über den PVLAN-Trunk-Port xe-0/0/1 aus, da dieser PVLAN-Trunk-Port Mitglied aller VLANs ist. Die Pakete behalten den sekundären VLAN-Tag (600) beim Ausgehenden.
Nachdem der Datenverkehr für comm600 über den PVLAN-Trunk-Port auf Switch 2 eintrifft, geht er an xe-0/0/0 aus, wenn diese Schnittstelle als promiscuous Trunk-Port konfiguriert ist.
Sie geht nicht auf xe-0/0/0 aus, wenn diese Schnittstelle als promiscuous Access Port konfiguriert ist, da der Port nur an pvlan100 teilnehmen kann.
Datenverkehr für comm600 geht auch über Community-Port xe-0/0/6 auf Switch 2 aus. Dieser Datenverkehr wird beim Ausgang nicht markiert, da xe-0/0/6 ein Zugriffsport ist.
Sekundäre VLAN-Trunk- und Nicht-private VLAN-Schnittstelle
Nehmen Sie für diesen Anwendungsfall an, dass Sie zwei Switches mit denselben Ports und VLANs wie in den vorherigen Anwendungsfällen konfiguriert haben, mit Ausnahme dieser Unterschiede:
Konfiguration für xe-0/0/0 auf Switch 1:
Sekundärer VLAN-Trunk-Port für VLAN pvlan100
Zugriffsport für vlan700
Port xe-0/0/6 auf beiden Switches ist ein Zugriffsport für vlan700.
Abbildung 13 zeigt diese Topologie und wie der Datenverkehr für isolierte200 (Mitglied von pvlan100) und vlan700 nach dem Eingang auf Switch 1 fließen würde.
Hier ist der Datenverkehrsfluss für VLAN isoliert200:
Beachten Sie, dass der Datenverkehr für VLAN isoliert200 nicht über den isolierten Zugriffsport xe-0/0/2 auf Switch 1 oder den sekundären VLAN-Trunk-Port xe-0/0/2 auf Switch 2 ausgeht, obwohl diese beiden Ports Mitglieder desselben isolierten VLANs sind.
Nachdem der Datenverkehr für Vlan700 über den auf xe-0/0/0 auf Switch 1 konfigurierten Zugriffsport eintrifft, geht er über Access-Port xe-0/0/6 aus, da dieser Port Mitglied desselben VLANs ist. Der Datenverkehr für Vlan700 wird nicht an Switch 2 weitergeleitet (obwohl xe-0/0/6 auf Switch 2 Mitglied von vlan700 ist), da der PVLAN-Trunk auf xe-0/0/1 dieses VLAN nicht trägt.
Eingehender Datenverkehr über promiscuous Access Port
Nehmen Sie an, dass zwei Switches mit denselben Ports und VLANs wie im vorherigen Anwendungsfall konfiguriert sind, außer dass xe-0/0/0 auf Switch 1 als promiscuous Access Port konfiguriert ist und Mitglied von pvlan100 ist. Abbildung 14 zeigt diese Topologie und wie untaggter Datenverkehr nach dem Eindringen durch diese Schnittstelle auf Switch 1 fließen würde.
Wie die Abbildung zeigt, wird nicht getaggter Datenverkehr, der über einen promiscuous Access-Port eintrifft, an alle sekundären VLAN-Ports weitergeleitet, die Mitglieder des primären VLANs sind, dem der promiscuous Access-Port angehört. Der Datenverkehr wird nicht getaggt, wenn er von Access-Ports aus geht, und beim Ausgang von einem Trunk-Port (xe-0/0/2 auf Switch 2) getaggt.
Gemeinsame Verwendung von 802.1X-Authentifizierung und privaten VLANs auf derselben Schnittstelle
- Verständnis der Verwendung von 802.1X-Authentifizierung und PVLANs gemeinsam auf derselben Schnittstelle
- Konfigurationsrichtlinien für die Kombination von 802.1X-Authentifizierung mit PVLANs
- Beispiel: Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
Verständnis der Verwendung von 802.1X-Authentifizierung und PVLANs gemeinsam auf derselben Schnittstelle
Sie können jetzt sowohl die 802.1X-Authentifizierung als auch private VLANs (PVLANs) auf derselben Schnittstelle konfigurieren.
Die IEEE 802.1X-Authentifizierung bietet Netzwerk-Edge-Sicherheit und schützt Ethernet-LANs vor unbefugtem Benutzerzugriff, indem sie den gesamten Datenverkehr zu und von einem Supplicant (Client) an der Schnittstelle blockiert, bis die Nachweise des Supplicants angezeigt und auf dem authentication server (einem RADIUS-Server) abgeglichen werden.
Private VLANs (PVLANs) bieten Layer-2-Isolierung zwischen Ports innerhalb eines VLANs und teilen eine Broadcast-Domain durch das Erstellen sekundärer VLANs in mehrere separate Broadcast-Subdomains auf. PVLANs sind nützlich, um den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und die Kommunikation zwischen bekannten Hosts einzuschränken.
Auf einem Switch, der sowohl mit 802.1X-Authentifizierung als auch mit PVLANs konfiguriert ist, wird das Gerät authentifiziert, wenn ein neues Gerät an das PVLAN-Netzwerk angeschlossen wird, und dann auf der Grundlage der PVLAN-Konfiguration oder des RADIUS-Profils einem sekundären VLAN zugewiesen. Das Gerät erhält dann eine IP-Adresse und erhält Zugriff auf das PVLAN-Netzwerk.
Dieses Dokument bietet keine detaillierten Informationen zur 802.1X-Authentifizierung oder privaten VLANs. Weitere Informationen finden Sie in der Funktionsdokumentation, die für diese einzelnen Funktionen spezifisch ist. Informationen zu 802.1X finden Sie im Benutzerhandbuch "Benutzerzugriff und Authentifizierung". Informationen zu PVLANs finden Sie im Benutzerhandbuch zum Ethernet-Switching.
Konfigurationsrichtlinien für die Kombination von 802.1X-Authentifizierung mit PVLANs
Beachten Sie die folgenden Richtlinien und Einschränkungen für die Konfiguration dieser beiden Funktionen auf derselben Schnittstelle:
Sie können eine 802.1X-fähige Schnittstelle nicht als promiscuous Schnittstelle (eine Schnittstelle, die nach Konfiguration Mitglied des primären VLANs ist) oder als Interswitch-Link (ISL)-Schnittstelle konfigurieren.
Mehrere Benutzer können nicht über verschiedene VLANs authentifiziert werden, die zu derselben PVLAN-Domäne auf einer logischen Schnittstelle gehören. Wenn z. B. schnittstellenge-0/0/0 so
supplicant multiplekonfiguriert ist und die Clients C1 und C2 authentifiziert werden und zu dynamischen VLANs V1 bzw. V2 hinzugefügt werden, muss V1 und V2 zu verschiedenen PVLAN-Domänen gehören.Wenn VoIP-VLAN und Daten-VLAN unterschiedlich sind, müssen sich diese beiden VLANs in verschiedenen PVLAN-Domänen befinden.
Wenn die PVLAN-Mitgliedschaft geändert wird (d. h. eine Schnittstelle wird in einem anderen PVLAN neu konfiguriert), müssen die Clients erneut authentifiziert werden.
Beispiel: Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
- Anforderungen
- Überblick
- Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
- Überprüfung
Anforderungen
Junos OS Version 18.2R1 oder höher
Switch EX2300, EX3400 oder EX4300
Geben Sie zunächst den RADIUS-Server an, der als Authentifizierungsserver verwendet werden soll. Siehe Festlegen von RADIUS-Serververbindungen auf Switches (CLI-Prozedur).
Überblick
Der folgende Konfigurationsabschnitt zeigt die Konfiguration des Zugriffsprofils, die 802.1X-Authentifizierungskonfiguration und schließlich die VLANs (einschließlich PVLANs).
Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
Verfahren
CLI-Schnellkonfiguration
[edit] set access radius-server 10.20.9.199 port 1812 set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set access profile dot1x-auth authentication-order radius set access profile authp authentication-order radius set access profile authp radius authentication-server 10.204.96.165 set switch-options voip interface ge-0/0/8.0 vlan voip set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data set protocols dot1x authenticator authentication-profile-name authp set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set vlans community vlan-id 20 set vlans community private-vlan community set vlans community-one vlan-id 30 set vlans community-one private-vlan community set vlans isolated vlan-id 200 set vlans isolated private-vlan isolated set vlans pvlan vlan-id 2000 set vlans pvlan isolated-vlan isolated set vlans pvlan community-vlans [community community-one] set vlans data vlan-id 43 set vlans voip vlan-id 33
Schritt-für-Schritt-Verfahren
So konfigurieren Sie 802.1X-Authentifizierung und PVLANs in einer Konfiguration:
Konfigurieren Sie das Zugriffsprofil:
[edit access] set radius-server 10.20.9.199 port 1812 set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set profile dot1x-auth authentication-order radius set profile authp authentication-order radius set profile authp radius authentication-server 10.204.96.165 [edit switch-options] set voip interface ge-0/0/8.0 vlan voip
HINWEIS:Das konfigurierte VoIP-VLAN kann kein PVLAN (primär, community oder isoliert) sein.
Konfigurieren Sie die 802.1X-Einstellungen:
[edit interfaces] set ge-0/0/8 unit 0 family ethernet-switching interface-mode access set ge-0/0/8 unit 0 family ethernet-switching vlan members data [edit protocols] set dot1x authenticator authentication-profile-name authp set dot1x authenticator interface ge-0/0/8.0 supplicant multiple set dot1x authenticator interface ge-0/0/8.0 mac-radius
HINWEIS:Das konfigurierte Daten-VLAN kann auch ein Community-VLAN oder ein isoliertes VLAN sein.
Konfigurieren Sie die VLANs (einschließlich der PVLANs):
[edit vlans] set community vlan-id 20 set community private-vlan community set community-one vlan-id 30 set community-one private-vlan community set isolated vlan-id 200 set isolated private-vlan isolated set pvlan vlan-id 2000 set pvlan isolated-vlan isolated set pvlan community-vlans [community community-one] set data vlan-id 43 set voip vlan-id 33
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die folgenden show Befehle auf dem Switch eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@switch# show access
radius-server {
10.20.9.199 {
port 1812;
secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"; ## SECRET-DATA
}
}
profile dot1x-auth {
authentication-order radius;
}
profile authp {
authentication-order radius;
radius {
authentication-server 10.204.96.165;
}
}
user@switch# show interfaces
ge-0/0/8 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data;
}
}
}
}
user@switch# show protocols
dot1x {
authenticator {
authentication-profile-name authp;
interface {
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@switch# show switch-options
voip {
interface ge-0/0/8.0 {
vlan voip;
}
}
user@switch# show vlans
community {
vlan-id 20;
private-vlan community;
}
community-one {
vlan-id 30;
private-vlan community;
}
data {
vlan-id 43;
}
isolated {
vlan-id 200;
private-vlan isolated;
}
pvlan {
vlan-id 2000;
isolated-vlan isolated;
community-vlans [community community-one];
}
voip {
vlan-id 33;
}
Überprüfung
- Überprüfen, ob Client-MAC-Adressen im primären VLAN gelernt wurden
- Stellen Sie sicher, dass es sich beim primären VLAN um ein authentifiziertes VLAN handelt
Überprüfen, ob Client-MAC-Adressen im primären VLAN gelernt wurden
Zweck
Zeigen Sie, dass eine Client-MAC-Adresse im primären VLAN gelernt wurde.
Aktion
user@switch> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC, SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
pvlan 00:30:48:8C:66:BD D - ge-0/0/8.0 0 0 Stellen Sie sicher, dass es sich beim primären VLAN um ein authentifiziertes VLAN handelt
Zweck
Zeigen Sie, dass das primäre VLAN als authentifiziertes VLAN angezeigt wird.
Aktion
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: pvlan
Reauthentication due in 17 secondsSicherheit für Den Zugriff auf private VLANs
- Verständnis der Zugriffs-Port-Sicherheit auf PVLANs
- Konfigurationsrichtlinien für die Einrichtung von Zugriffs-Port-Sicherheitsfunktionen auf PVLANs
- Beispiel: Konfigurieren der Zugriffs-Port-Sicherheit auf einem PVLAN
Verständnis der Zugriffs-Port-Sicherheit auf PVLANs
Sie können jetzt Zugriffs-Port-Sicherheitsfunktionen wie DHCP-Snooping auf privaten VLANs (PVLANs) aktivieren.
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Mit der PVLAN-Funktion können Sie eine Broadcast-Domain in mehrere isolierte Broadcast-Subdomänen aufteilen und im Wesentlichen ein VLAN in ein VLAN integrieren.
Ethernet-LANs sind anfällig für Angriffe wie Address Spoofing (Forging) und Layer 2 Denial of Service (DoS) auf Netzwerkgeräten. Die folgenden Zugriffs-Port-Sicherheitsfunktionen schützen Ihr Gerät vor Informations- und Produktivitätsverlusten, die durch solche Angriffe verursacht werden können, und Sie können diese Sicherheitsfunktionen jetzt auf einem PVLAN konfigurieren:
DHCP-Snooping: Filtert und blockiert eingehende DHCP-Servernachrichten auf nicht vertrauenswürdigen Ports. DHCP-Snooping erstellt und verwaltet eine Datenbank mit DHCP-Lease-Informationen, die als DHCP-Snooping-Datenbank bezeichnet wird.
DHCPv6-Snooping – DHCP-Snooping für IPv6.
DHCP-Option 82– Auch bekannt als DHCP Relay Agent Information Option. Schützt den Switch vor Angriffen wie Spoofing von IP-Adressen und MAC-Adressen und VERhungern von DHCP-IP-Adressen. Option 82 stellt Informationen über den Netzwerkstandort eines DHCP-Clients bereit. Der DHCP-Server verwendet diese Informationen, um IP-Adressen oder andere Parameter für den Client zu implementieren.
DHCPv6-Optionen:
Option 37 – Remote-ID-Option für DHCPv6; fügt Informationen über den Netzwerkstandort des Remote-Hosts in DHCPv6-Pakete ein.
Option 18 – Circuit ID-Option für DHCPv6; fügt Informationen über den Client-Port in DHCPv6-Pakete ein.
Option 16 – Anbieter-ID-Option für DHCPv6; fügt Informationen über den Hersteller der Client-Hardware in DHCPv6-Pakete ein.
Dynamic ARP Inspection (DAI): Verhindert ARP(Address Resolution Protocol)-Spoofing-Angriffe. ARP-Anfragen und -Antworten werden mit Einträgen in der DHCP-Snooping-Datenbank verglichen, und Filterentscheidungen werden anhand der Ergebnisse dieser Vergleiche getroffen.
IP Source Guard – Verringert die Auswirkungen von IP-Adressen-Spoofing-Angriffen auf das Ethernet-LAN; Validiert die Quell-IP-Adresse im Paket, die von einer nicht vertrauenswürdigen Zugriffsschnittstelle mit der DHCP-Snooping-Datenbank gesendet wird. Wenn das Paket nicht validiert werden kann, wird es verworfen.
IPv6 Source Guard – IP Source Guard für IPv6.
IPv6 Neighbor Discovery Inspection – Verhindert IPv6-Adress-Spoofing-Angriffe; Vergleicht Anfragen und Antworten von Nachbarn mit Einträgen in der DHCPv6-Snooping-Datenbank, und Filterentscheidungen werden auf der Grundlage der Ergebnisse dieser Vergleiche getroffen.
Dieses Dokument enthält keine detaillierten Informationen über Die Sicherheitsfunktionen des Zugriffs-Ports oder PVLANs. Weitere Informationen finden Sie in der Funktionsdokumentation, die für diese einzelnen Funktionen spezifisch ist. Informationen zur Sicherheit des Zugriffsports finden Sie im Administrationshandbuch für Sicherheitsservices. Informationen zu PVLANs finden Sie im Benutzerhandbuch zum Ethernet-Switching.
Konfigurationsrichtlinien für die Einrichtung von Zugriffs-Port-Sicherheitsfunktionen auf PVLANs
Beachten Sie die folgenden Richtlinien und Einschränkungen für die Konfiguration von Zugriffs-Port-Sicherheitsfunktionen auf PVLANs:
Sie müssen dieselben Zugriffs-Port-Sicherheitsfunktionen sowohl auf das primäre VLAN als auch auf alle seine sekundären VLANs anwenden.
Ein PVLAN kann nur eine integrierte Routing- und Bridging -Schnittstelle (IRB) haben, und die IRB-Schnittstelle muss sich im primären VLAN sein.
Die Einschränkungen der Sicherheitskonfigurationen für Den Zugriffsport auf PVLANs sind dieselben wie für Konfigurationen für Zugriffs-Port-Sicherheitsfunktionen, die nicht in PVLANs enthalten sind. Lesen Sie die Dokumentation zur Zugriffs-Port-Sicherheit im Administrationsleitfaden für Sicherheitsservices.
Beispiel: Konfigurieren der Zugriffs-Port-Sicherheit auf einem PVLAN
Anforderungen
Junos OS Version 18.2R1 oder höher
Switch EX4300
Überblick
Der folgende Konfigurationsabschnitt zeigt:
Konfiguration eines privaten VLANs mit dem primären VLAN (
vlan-pri) und seinen drei sekundären VLANs: Community-VLANs (vlan-hrundvlan-finance) und isolierten VLANs (vlan-iso).Konfiguration der Schnittstellen, die zum Senden der Kommunikation zwischen den Schnittstellen auf diesen VLANs verwendet werden.
Konfiguration der Zugriffssicherheitsfunktionen auf den primären und sekundären VLANs, aus denen das PVLAN besteht.
Tabelle 5 listet die Einstellungen für die Beispieltopologie auf.
| Schnittstelle | Beschreibung |
|---|---|
ge-0/0/0.0 |
Primäre VLAN-Trunk-Schnittstelle (vlan1-pri) |
ge-0/0/11.0 |
Benutzer 1, HR Community (vlan-hr) |
ge-0/0/12.0 |
Benutzer 2, HR Community (vlan-hr) |
ge-0/0/13.0 |
Benutzer 3, Finance Community (vlan-finance) |
ge-0/0/14.0 |
Benutzer 4, Finance Community (vlan-finance) |
ge-0/0/15.0 |
Mailserver, isoliert (vlan-iso) |
ge-0/0/16.0 |
Backup-Server, isoliert (vlan-iso) |
ge-1/0/0.0 |
Primäre VLAN-Trunk-Schnittstelle (Vlan-pri) |
Konfigurieren der Zugriffs-Port-Sicherheit auf einem PVLAN
Verfahren
CLI-Schnellkonfiguration
set vlans vlan-pri vlan-id 100 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-pri community-vlan vlan-hr set vlans vlan-pri community-vlan vlan-finance set vlans vlan-pri isolated-vlan vlan-iso set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interfaces ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interfaces ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set vlans vlan-pri forwarding-options dhcp-security arp-inspection set vlans vlan-pri forwarding-options dhcp-security ip-source-guard set vlans vlan-pri forwarding-options dhcp-security ipv6-source-guard set vlans vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-pri forwarding-options dhcp-security option-82 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-hr forwarding-options dhcp-security arp-inspection set vlans vlan-hr forwarding-options dhcp-security ip-source-guard set vlans vlan-hr forwarding-options dhcp-security ipv6-source-guard set vlans vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-hr forwarding-options dhcp-security option-82 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-finance forwarding-options dhcp-security arp-inspection set vlans vlan-finance forwarding-options dhcp-security ip-source-guard set vlans vlan-finance forwarding-options dhcp-security ipv6-source-guard set vlans vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-finance forwarding-options dhcp-security option-82 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-iso forwarding-options dhcp-security arp-inspection set vlans vlan-iso forwarding-options dhcp-security ip-source-guard set vlans vlan-iso forwarding-options dhcp-security ipv6-source-guard set vlans vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-iso forwarding-options dhcp-security option-82 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Schritt-für-Schritt-Verfahren
So konfigurieren Sie ein privates VLAN (PVLAN) und konfigurieren dann Zugriffs-Port-Sicherheitsfunktionen auf diesem PVLAN:
Konfigurieren des PVLAN: Erstellen Sie das primäre VLAN und seine sekundären VLANs, und weisen Sie ihnen VLAN-IDs zu. Zuordnen von Schnittstellen mit DEN VLANs. (Weitere Informationen zur Konfiguration von VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie mit ELS-Support (CLI-Prozedur).)
[edit vlans] user@switch# set vlan-pri vlan-id 100 user@switch# set vlan-hr private-vlan community vlan-id 200 user@switch# set vlan-finance private-vlan community vlan-id 300 user@switch# set vlan-iso private-vlan isolated vlan-id 400 user@switch# set vlan-pri community-vlan vlan-hr user@switch# set vlan-pri community-vlan vlan-finance user@switch# set vlan-pri isolated-vlan vlan-iso
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Konfigurieren Sie Zugriffs-Port-Sicherheitsfunktionen für das primäre VLAN und alle seine sekundären VLANs:
HINWEIS:Wenn Sie ARP Inspection, IP Source Guard, IPv6 Source Guard, Neighbor Discovery Inspection, DHCP Option 82 oder DHCPv6-Optionen konfigurieren, werden DHCP-Snooping und DHCPv6-Snooping automatisch konfiguriert.
[edit vlans] user@switch# set vlan-pri forwarding-options dhcp-security arp-inspection user@switch# set vlan-pri forwarding-options dhcp-security ip-source-guard user@switch# set vlan-pri forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-pri forwarding-options dhcp-security option-82 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-hr forwarding-options dhcp-security arp-inspection user@switch# set vlan-hr forwarding-options dhcp-security ip-source-guard user@switch# set vlan-hr forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-hr forwarding-options dhcp-security option-82 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-finance forwarding-options dhcp-security arp-inspection user@switch# set vlan-finance forwarding-options dhcp-security ip-source-guard user@switch# set vlan-finance forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-finance forwarding-options dhcp-security option-82 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-iso forwarding-options dhcp-security arp-inspection user@switch# set vlan-iso forwarding-options dhcp-security ip-source-guard user@switch# set vlan-iso forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-iso forwarding-options dhcp-security option-82 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die folgenden show Befehle auf dem Switch eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@switch# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/15 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
ge-0/0/16 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
user@switch# show vlans
vlan-finance {
vlan-id 300;
private-vlan community;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-hr {
vlan-id 200;
private-vlan community;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-iso {
vlan-id 400;
private-vlan isolated;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-pri {
vlan-id 100;
community-vlan vlan-finance;
community-vlan vlan-hr;
isolated-vlan vlan-iso;
interface {
ge-0/0/0.0;
ge-1/0/0.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
Überprüfung
Stellen Sie sicher, dass die Zugriffssicherheitsfunktionen wie erwartet funktionieren
Zweck
Stellen Sie sicher, dass die Sicherheitsfunktionen für den Zugriff port, die Sie auf Ihrem PVLAN konfiguriert haben, wie erwartet funktionieren.
Aktion
Verwenden Sie die show dhcp-security CLI-Befehle, clear dhcp-security um zu überprüfen, ob die Funktionen wie erwartet funktionieren. Details zu diesen Befehlen finden Sie im Administrationshandbuch für Sicherheitsservices.
Erstellen eines privaten VLANs auf einem einzigen Switch mit ELS-Unterstützung (CLI-Prozedur)
Diese Aufgabe verwendet Junos OS für Switches mit Unterstützung für den ElS-Konfigurationsstil (Enhanced Layer 2 Software). Wenn auf Ihrem Switch der EX-Serie Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLANs auf einem einzigen Switch der EX-Serie (CLI-Prozedur). Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Private VLANs werden auf QFX5100-Switches und QFX10002-Switches mit Junos OS Version 15.1X53 nicht unterstützt.
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken oder die Kommunikation zwischen bekannten Hosts einzuschränken. Private VLANs (PVLANs) ermöglichen es Ihnen, eine Broadcast-Domain (primäres VLAN) in mehrere isolierte Broadcast-Subdomänen (sekundäre VLANs) aufzuteilen und im Wesentlichen ein VLAN in ein VLAN zu integrieren. In diesem Verfahren wird das Erstellen eines PVLAN auf einem einzigen Switch beschrieben.
Sie müssen für jedes sekundäre VLAN eine VLAN-ID angeben, auch wenn das PVLAN auf einem einzigen Switch konfiguriert ist.
Sie müssen das primäre VLAN nicht vorkonfigurieren. In diesem Thema wird das primäre VLAN als Teil dieser PVLAN-Konfiguration konfiguriert.
Eine Liste der Richtlinien zur Konfiguration von PVLANs finden Sie unter Understanding Private VLANs.
So konfigurieren Sie ein privates VLAN auf einem einzigen Switch:
Erstellen eines privaten VLANs auf einem einzigen QFX-Switch
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Mit der privaten VLAN-Funktion (PVLAN) können Sie eine Broadcast-Domain in mehrere isolierte Broadcast-Subdomänen aufteilen, wodurch ein sekundäres VLAN in ein primäres VLAN integriert wird. In diesem Thema wird die Konfiguration eines PVLAN auf einem einzigen Switch beschrieben.
Konfigurieren Sie zunächst die Namen für alle sekundären VLANs, die Teil des primären VLANs sein werden. (Sie müssen das primäre VLAN nicht vorkonfigurieren – es wird im Rahmen dieser Prozedur konfiguriert.) Sie müssen keine VLAN-IDs (Tags) für die sekundären VLANs erstellen. Es beeinträchtigt nicht die Funktion, wenn Sie das sekundäre VLANS tagt, aber Tags werden nicht verwendet, wenn sekundäre VLANs auf einem einzigen Switch konfiguriert sind.
Beachten Sie bei der Konfiguration eines PVLAN folgende Regeln:
Das primäre VLAN muss ein getaggtes VLAN sein.
Wenn Sie ein Community-VLAN konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren. Sie müssen auch das primäre VLAN mit der pvlan-Anweisung so konfigurieren, dass es privat ist.
Wenn Sie ein isoliertes VLAN konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Wenn Sie Ihre Konfigurationsschritte in der angegebenen Reihenfolge durchführen, verstoßen Sie nicht gegen diese PVLAN-Regeln. So konfigurieren Sie ein privates VLAN auf einem einzigen Switch:
Erstellen eines privaten VLANs auf einem einzigen Switch der EX-Serie (CLI-Prozedur)
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die private VLAN-Funktion (PVLAN) auf Den Switches der EX-Serie ermöglicht es Ihnen, eine Broadcast-Domain, auch als primäres VLAN bekannt, in mehrere isolierte Broadcast-Subdomänen aufzuteilen, die auch als sekundäre VLANs bezeichnet werden. Die Aufteilung des primären VLANs in sekundäre VLANs verschachtelt im Wesentlichen ein VLAN in ein anderes VLAN. In diesem Thema wird die Konfiguration eines PVLAN auf einem einzigen Switch beschrieben.
Konfigurieren Sie zunächst die Namen für alle sekundären VLANs, die Teil des primären VLANs sein werden. (Im Gegensatz zu sekundären VLANs müssen Sie das primäre VLAN nicht vorkonfigurieren– mit dieser Prozedur wird die vollständige Konfiguration des primären VLANs bereitgestellt.) Obwohl Tags nicht benötigt werden, wenn ein sekundäres VLAN auf einem einzigen Switch konfiguriert ist, wirkt sich die Konfiguration eines sekundären VLANs als getaggt nicht negativ auf dessen Funktionalität aus. Anweisungen zur Konfiguration der sekundären VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Beachten Sie diese Regeln bei der Konfiguration eines PVLAN auf einem einzigen Switch:
Das primäre VLAN muss ein getaggtes VLAN sein.
Die Konfiguration eines VoIP-VLANs auf PVLAN-Schnittstellen wird nicht unterstützt.
So konfigurieren Sie ein privates VLAN auf einem einzigen Switch:
Isolierte VLANs werden nicht als Teil dieses Prozesses konfiguriert. Stattdessen werden sie intern erstellt, wenn no-local-switching auf dem primären VLAN aktiviert ist und das isolierte VLAN Zugriffsschnittstellen als Member hat.
Informationen zum optionalen Routing zwischen isolierten und Community-VLANs mithilfe einer routingfähigen VLAN-Schnittstelle (RVI) anstelle eines promiscuousen Ports, die mit einem Router verbunden sind, finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle in einem privaten VLAN auf einem Switch der EX-Serie.
Nur ein EX8200-Switch oder ex8200 Virtual Chassis unterstützen die Verwendung einer RVI zum Routen von Layer-3-Datenverkehr zwischen isolierten und Community-VLANs in einer PVLAN-Domäne.
Erstellen eines privaten VLANs für mehrere Switches der QFX-Serie
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Mit der privaten VLAN-Funktion (PVLAN) können Sie eine Broadcast-Domain in mehrere isolierte Broadcast-Subdomänen aufteilen, wodurch ein sekundäres VLAN in ein primäres VLAN integriert wird. In diesem Thema wird die Konfiguration eines PVLAN für mehrere Switches beschrieben.
Konfigurieren Sie zunächst die Namen für alle sekundären VLANs, die Teil des primären VLANs sein werden. (Sie müssen das primäre VLAN nicht vorkonfigurieren – es wird im Rahmen dieser Prozedur konfiguriert.) Sie müssen keine VLAN-IDs (Tags) für die sekundären VLANs erstellen. Es beeinträchtigt nicht die Funktion, wenn Sie das sekundäre VLANS tagt, aber Tags werden nicht verwendet, wenn sekundäre VLANs auf einem einzigen Switch konfiguriert sind.
Für das Erstellen von PVLANs gelten die folgenden Regeln:
Das primäre VLAN muss ein getaggtes VLAN sein.
Wenn Sie ein Community-VLAN konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren. Sie müssen auch das primäre VLAN mit der pvlan-Anweisung so konfigurieren, dass es privat ist.
Wenn Sie ein isoliertes VLAN konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Wenn Sie Ihre Konfigurationsschritte in der angegebenen Reihenfolge durchführen, verstoßen Sie nicht gegen diese PVLAN-Regeln. So konfigurieren Sie ein privates VLAN für mehrere Switches:
Erstellen eines privaten VLANs, das mehrere Switches der EX-Serie mit ELS-Unterstützung (CLI-Prozedur)
Diese Aufgabe verwendet Junos OS für Switches der EX-Serie mit Unterstützung für den erweiterten Layer-2-Software-Konfigurationsstil (ELS) Wenn auf Ihrem Switch Software ausgeführt wird, die keine ELS unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLANs, das mehrere Switches der EX-Serie umspannt (CLI-Prozedur). Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Private VLANs werden auf QFX5100-Switches und QFX10002-Switches mit Junos OS Version 15.1X53 nicht unterstützt.
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken oder die Kommunikation zwischen bekannten Hosts einzuschränken. Private VLANs (PVLANs) ermöglichen es Ihnen, eine Broadcast-Domain (primäres VLAN) in mehrere isolierte Broadcast-Subdomänen (sekundäre VLANs) aufzuteilen und im Wesentlichen ein VLAN in ein VLAN zu integrieren. In diesem Verfahren wird die Konfiguration eines PVLAN für mehrere Switches beschrieben.
Eine Liste der Richtlinien zur Konfiguration von PVLANs finden Sie unter Understanding Private VLANs.
Um ein PVLAN so zu konfigurieren, dass er mehrere Switches umspannt, führen Sie den folgenden Vorgang auf allen Switches aus, die am PVLAN teilnehmen:
Erstellen eines privaten VLANs, das mehrere Switches der EX-Serie umfasst (CLI-Prozedur)
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die private VLAN-Funktion (PVLAN) auf den Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domain, auch als primäres VLAN bekannt, in mehrere isolierte Broadcast-Subdomänen aufzuteilen, auch bekannt als sekundäre VLANs. Die Aufteilung des primären VLANs in sekundäre VLANs verschachtelt im Wesentlichen ein VLAN in ein anderes VLAN. In diesem Thema wird die Konfiguration eines PVLAN für mehrere Switches beschrieben.
Konfigurieren Sie zunächst die Namen für alle sekundären VLANs, die Teil des primären VLANs sein werden. (Im Gegensatz zu sekundären VLANs müssen Sie das primäre VLAN nicht vorkonfigurieren– mit dieser Prozedur wird die vollständige Konfiguration des primären VLANs bereitgestellt.) Anweisungen zur Konfiguration der sekundären VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Für das Erstellen von PVLANs gelten die folgenden Regeln:
Das primäre VLAN muss ein getaggtes VLAN sein.
Sie müssen das primäre VLAN und den PVLAN-Trunk-Port konfigurieren, bevor Sie die sekundären VLANs konfigurieren.
Die Konfiguration eines VoIP-VLANs auf PVLAN-Schnittstellen wird nicht unterstützt.
Wenn das Multiple VLAN Registration Protocol (MVRP) auf dem PVLAN-Trunk-Port konfiguriert ist, muss die Konfiguration der sekundären VLANs und des PVLAN-Trunk-Ports mit demselben Commit-Vorgang festgelegt werden.
So konfigurieren Sie ein privates VLAN für mehrere Switches:
Informationen zum optionalen Routing zwischen isolierten und Community-VLANs mithilfe einer routingfähigen VLAN-Schnittstelle (RVI) anstelle eines promiscuousen Ports, die mit einem Router verbunden sind, finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle in einem privaten VLAN auf einem Switch der EX-Serie.
Nur ein EX8200-Switch oder ex8200 Virtual Chassis unterstützen die Verwendung einer RVI zum Routen von Layer-3-Datenverkehr zwischen isolierten und Community-VLANs in einer PVLAN-Domäne.
Beispiel: Konfigurieren eines privaten VLANs auf einem einzigen Switch mit ELS-Unterstützung
In diesem Beispiel wird Junos OS für Switches mit Unterstützung für den ELS-Konfigurationsstil (Enhanced Layer 2 Software) verwendet. Wenn auf Ihrem EX-Switch Software ausgeführt wird, die ELS nicht unterstützt, sehen Sie sich das Beispiel an : Konfigurieren eines privaten VLANs auf einem einzigen Switch der EX-Serie. Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Private VLANs werden auf QFX5100-Switches und QFX10002-Switches mit Junos OS Version 15.1X53 nicht unterstützt.
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken oder die Kommunikation zwischen bekannten Hosts einzuschränken. Private VLANs (PVLANs) ermöglichen es Ihnen, eine Broadcast-Domain (primäres VLAN) in mehrere isolierte Broadcast-Subdomänen (sekundäre VLANs) aufzuteilen und im Wesentlichen ein VLAN in ein VLAN zu integrieren.
In diesem Beispiel wird beschrieben, wie Sie ein PVLAN auf einem einzigen Switch erstellen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Junos OS-Switch
Junos OS Version 14.1X53-D10 oder höher für Switches der EX-Serie
Junos OS Version 14.1X53-D15 oder höher für Switches der QFX-Serie
Übersicht und Topologie
Sie können Gruppen von Abonnenten isolieren, um die Sicherheit und Effizienz zu verbessern. In diesem Konfigurationsbeispiel wird eine einfache Topologie verwendet, um zu veranschaulichen, wie ein PVLAN mit einem primären VLAN und drei sekundären VLANs (einem isolierten VLAN und zwei Community-VLANs) erstellt wird.
Tabelle 6 listet die Schnittstellen der im Beispiel verwendeten Topologie auf.
| Schnittstelle | Beschreibung |
|---|---|
|
Promiscuous Member-Ports |
|
VLAN-Mitgliedsports der HR-Community |
|
VLAN-Mitgliedsports der Finanzgemeinschaft |
|
Isolierte Member-Ports |
Tabelle 7 listet die VLAN-IDs der im Beispiel verwendeten Topologie auf.
| VLAN-ID | Beschreibung |
|---|---|
|
Primäres VLAN |
|
HR-Community-VLAN |
|
Finanz-Community-VLAN |
|
Isoliertes VLAN |
Abbildung 15 zeigt die Topologie für dieses Beispiel.
Konfiguration
Sie können ein vorhandenes VLAN als Basis für Ihr privates PVLAN verwenden und darin Subdomänen erstellen. In diesem Beispiel wird ein primäres VLAN mithilfe des VLAN-Namens vlan-prials Teil der Prozedur erstellt.
Um ein PVLAN zu konfigurieren, führen Sie die folgenden Aufgaben aus:
CLI-Schnellkonfiguration
Um schnell ein PVLAN zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in das Switch-Terminal-Fenster ein:
[edit] set vlans vlan-pri vlan-id 100 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das PVLAN:
Erstellen Sie das primäre VLAN (in diesem Beispiel ist vlan-prider Name) des privaten VLANs:
[edit vlans] user@switch# set vlan-pri vlan-id 100
Erstellen Sie ein isoliertes VLAN und weisen Sie ihm eine VLAN-ID zu:
[edit vlans] user@switch# set vlan-iso private-vlan isolated vlan-id 400
Erstellen Sie das HR-Community-VLAN und weisen Sie ihm eine VLAN-ID zu:
[edit vlans] user@switch# set vlan-hr private-vlan community vlan-id 200
Erstellen Sie das Finanz-Community-VLAN und weisen Sie ihm eine VLAN-ID zu:
[edit vlans] user@switch# set vlan-finance private-vlan community vlan-id 300
Zuordnen der sekundären VLANs mit dem primären VLAN:
[edit vlans] user@switch# set vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
Setzen Sie die Schnittstellen auf die entsprechenden Schnittstellenmodi:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
Konfigurieren Sie eine promiscuous Trunk-Schnittstelle des primären VLANs. Diese Schnittstelle wird vom primären VLAN zur Kommunikation mit den sekundären VLANs verwendet.
user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Konfigurieren Sie eine weitere Trunkschnittstelle (es ist auch eine promiscuous Schnittstelle) des primären VLANs, die das PVLAN mit dem Router verbindet.
user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Beispiel: Konfigurieren eines privaten VLANs auf einem einzigen Switch der QFX-Serie
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die private VLAN-Funktion (PVLAN) ermöglicht es einem Administrator, eine Broadcast-Domain in mehrere isolierte Broadcast-Subdomains aufzuteilen und im Wesentlichen ein VLAN in ein VLAN zu integrieren.
In diesem Beispiel wird beschrieben, wie Sie ein PVLAN auf einem einzigen Switch erstellen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein QFX3500-Gerät
Junos OS Version 12.1 oder höher für die QFX-Serie
Stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben, bevor Sie mit der Konfiguration eines PVLAN beginnen. Siehe Konfiguration von VLANs auf Switches.
Übersicht und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie möglicherweise aus Sicherheitsgründen einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. Dieses Konfigurationsbeispiel zeigt eine einfache Topologie, um zu veranschaulichen, wie man ein PVLAN mit einem primären VLAN und zwei Community-VLANs erstellt, eines für HR und eines für das Finanzwesen, sowie zwei isolierte Ports – einen für den Mailserver und den anderen für den Backup-Server.
Tabelle 8 listet die Einstellungen für die Beispieltopologie auf.
| Schnittstelle | Beschreibung |
|---|---|
|
Primäre VLAN( |
|
Benutzer 1, HR Community ( |
|
Benutzer 2, HR Community ( |
|
Benutzer 3, Finanz-Community ( |
|
Benutzer 4, Finanz-Community ( |
|
Mail-Server, Isoliert ( |
|
Backup-Server, Isoliert ( |
|
Primäre VLAN( |
Konfiguration
CLI-Schnellkonfiguration
Um schnell ein PVLAN zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in das Switch-Terminal-Fenster ein:
[edit] set vlans pvlan100 vlan-id 100 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans pvlan100 pvlan set vlans pvlan100 interface ge-0/0/0.0 set vlans pvlan100 interface ge-1/0/0.0 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans finance-comm primary-vlan pvlan100 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das PVLAN:
Festlegen der VLAN-ID für das primäre VLAN:
[edit vlans] user@switch# set pvlan vlan-id 100
Legen Sie die Schnittstellen und Portmodi fest:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Legen Sie fest, dass das primäre VLAN kein lokales Switching hat:
HINWEIS:Das primäre VLAN muss ein getaggtes VLAN sein.
[edit vlans] user@switch# set pvlan100 pvlan
Fügen Sie die Trunkschnittstellen zum primären VLAN hinzu:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 user@switch# set pvlan100 interface ge-1/0/0.0
Konfigurieren Sie für jedes sekundäre VLAN Zugriffsschnittstellen:
HINWEIS:Wir empfehlen, dass die sekundären VLANs nicht getaggt werden. Es beeinträchtigt nicht die Funktion, wenn Sie das sekundäre VLANS tagt. Die Tags werden jedoch nicht verwendet, wenn ein sekundäres VLAN auf einem einzigen Switch konfiguriert ist.
[edit vlans] user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Legen Sie für jedes Community-VLAN das primäre VLAN fest:
[edit vlans] user@switch# set hr-comm primary-vlan pvlan100 user@switch# set finance-comm primary-vlan pvlan100
Konfigurieren Sie die isolierten Schnittstellen im primären VLAN:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching;
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
hr-comm {
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
pvlan;
}
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen der Erstellung privater VLANs und sekundärer VLANs
Zweck
Stellen Sie sicher, dass das primäre VLAN und die sekundären VLANs ordnungsgemäß auf dem Switch erstellt wurden.
Aktion
Verwenden Sie den show vlans Folgenden Befehl:
user@switch> show vlans pvlan100 extensive
VLAN: pvlan100, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 100, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__pvlan_pvlan_ge-0/0/15.0__
__pvlan_pvlan_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/15.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/16.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkBedeutung
Die Ausgabe zeigt, dass das primäre VLAN erstellt wurde und identifiziert die damit verbundenen Schnittstellen und sekundären VLANs.
Beispiel: Konfigurieren eines privaten VLANs auf einem einzigen Switch der EX-Serie
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die private VLAN-Funktion (PVLAN) auf den Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domain in mehrere isolierte Broadcast-Subdomänen aufzuteilen und im Wesentlichen ein VLAN in ein VLAN zu integrieren.
In diesem Beispiel wird beschrieben, wie Sie ein PVLAN auf einem einzigen Switch der EX-Serie erstellen:
Die Konfiguration eines VoIP-VLANs (Voice over IP) auf PVLAN-Schnittstellen wird nicht unterstützt.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie
Junos OS Version 9.3 oder höher für Switches der EX-Serie
Stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben, bevor Sie mit der Konfiguration eines PVLAN beginnen. Siehe Konfigurieren von VLANs für Switches der EX-Serie.
Übersicht und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie möglicherweise aus Sicherheitsgründen einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. Dieses Konfigurationsbeispiel zeigt eine einfache Topologie, um zu veranschaulichen, wie man ein PVLAN mit einem primären VLAN und zwei Community-VLANs erstellt, eines für HR und eines für das Finanzwesen, sowie zwei isolierte Ports – einen für den Mailserver und den anderen für den Backup-Server.
Tabelle 9 listet die Einstellungen für die Beispieltopologie auf.
| Schnittstelle | Beschreibung |
|---|---|
ge-0/0/0.0 |
Primäre VLAN(vlan1)-Trunk-Schnittstelle |
ge-0/0/11.0 |
Benutzer 1, HR Community (hr-comm) |
ge-0/0/12.0 |
Benutzer 2, HR Community (hr-comm) |
ge-0/0/13.0 |
Benutzer 3, Finanz-Community (finance-comm) |
ge-0/0/14.0 |
Benutzer 4, Finanz-Community (finance-comm) |
ge-0/0/15.0 |
Mail-Server, Isoliert (isolated) |
ge-0/0/16.0 |
Backup-Server, Isoliert (isolated) |
ge-1/0/0.0 |
Primäre VLAN( pvlan)-Trunk-Schnittstelle |
Abbildung 16 zeigt die Topologie für dieses Beispiel.
Konfiguration
Um ein PVLAN zu konfigurieren, führen Sie die folgenden Aufgaben aus:
CLI-Schnellkonfiguration
Um schnell ein PVLAN zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in das Switch-Terminal-Fenster ein:
[edit] set vlans vlan1 vlan-id 1000 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans vlan1 no-local-switching set vlans vlan1 interface ge-0/0/0.0 set vlans vlan1 interface ge-1/0/0.0 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan vlan1 set vlans finance-comm primary-vlan vlan1 set vlans vlan1 interface ge-0/0/15.0 set vlans vlan1 interface ge-0/0/16.0
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das PVLAN:
Festlegen der VLAN-ID für das primäre VLAN:
[edit vlans] user@switch# set vlan1 vlan-id 1000
Legen Sie die Schnittstellen und Portmodi fest:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Legen Sie fest, dass das primäre VLAN kein lokales Switching hat:
HINWEIS:Das primäre VLAN muss ein getaggtes VLAN sein.
[edit vlans] user@switch# set vlan1 no-local-switching
Fügen Sie die Trunkschnittstellen zum primären VLAN hinzu:
[edit vlans] user@switch# set vlan1 interface ge-0/0/0.0 user@switch# set vlan1 interface ge-1/0/0.0
Konfigurieren Sie für jedes sekundäre VLAN die VLAN-IDs und die Zugriffsschnittstellen:
HINWEIS:Wir empfehlen, dass die sekundären VLANs nicht getaggt werden. Es beeinträchtigt nicht die Funktion, wenn Sie das sekundäre VLANS tagt. Die Tags werden jedoch nicht verwendet, wenn ein sekundäres VLAN auf einem einzigen Switch konfiguriert ist.
[edit vlans] user@switch# set hr-comm vlan-id 400 user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm vlan-id 300 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Legen Sie für jedes Community-VLAN das primäre VLAN fest:
[edit vlans] user@switch# set hr-comm primary-vlan vlan1 user@switch# set finance-comm primary-vlan vlan1
Fügen Sie jede isolierte Schnittstelle dem primären VLAN hinzu:
[edit vlans] user@switch# set vlan1 interface ge-0/0/15.0 user@switch# set vlan1 interface ge-0/0/16.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan vlan1;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan vlan1;
}
vlan1 {
vlan-id 1000;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
no-local-switching;
}
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen der Erstellung privater VLANs und sekundärer VLANs
Zweck
Stellen Sie sicher, dass das primäre VLAN und die sekundären VLANs ordnungsgemäß auf dem Switch erstellt wurden.
Aktion
Verwenden Sie den show vlans Folgenden Befehl:
user@switch> show vlans vlan1 extensive
VLAN: vlan1, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__vlan1_vlan1_ge-0/0/15.0__
__vlan1_vlan1_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 400,Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 300,Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/15.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/16.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkBedeutung
Die Ausgabe zeigt, dass das primäre VLAN erstellt wurde und identifiziert die damit verbundenen Schnittstellen und sekundären VLANs.
Beispiel: Konfigurieren eines privaten VLANs, das mehrere QFX-Switches umspannt
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die private VLAN-Funktion (PVLAN) ermöglicht es einem Administrator, eine Broadcast-Domain in mehrere isolierte Broadcast-Subdomains aufzuteilen und im Wesentlichen ein VLAN in ein VLAN zu integrieren. Ein PVLAN kann mehrere Switches umfassen.
In diesem Beispiel wird beschrieben, wie Sie ein PVLAN für mehrere Switches erstellen. In diesem Beispiel wird ein primäres PVLAN erstellt, das mehrere sekundäre VLANs enthält:
- Anforderungen
- Übersicht und Topologie
- Konfigurieren eines PVLAN auf Switch 1
- Konfiguration eines PVLAN auf Switch 2
- Konfiguration eines PVLAN auf Switch 3
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei QFX3500-Geräte
Junos OS Version 12.1 oder höher für die QFX-Serie
Stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben, bevor Sie mit der Konfiguration eines PVLAN beginnen. Siehe Konfiguration von VLANs auf Switches.
Übersicht und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie möglicherweise aus Sicherheitsgründen einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. Dieses Konfigurationsbeispiel zeigt, wie Sie ein PVLAN für mehrere QFX-Geräte erstellen, wobei ein primäres VLAN zwei Community-VLANs (eines für HR und eines für Finanzen) und ein isoliertes Interswitch-VLAN (für den Mail-Server, den Backup-Server und den CVS-Server) enthält. Der PVLAN besteht aus drei Switches, zwei Zugangs-Switches und einem Verteilungs-Switch. Der PVLAN ist über einen promiscuous Port mit einem Router verbunden, der auf dem Verteilungs-Switch konfiguriert ist.
Die isolierten Ports auf Switch 1 und Switch 2 verfügen nicht über Eine Layer-2-Konnektivität untereinander, obwohl sie in derselben Domäne enthalten sind. Siehe Grundlegendes zu privaten VLANs.
Abbildung 17 zeigt die Topologie für dieses Beispiel– zwei Zugriffs-Switches, die eine Verbindung zu einem Verteilungs-Switch herstellen, der (über einen promiscuous Port) mit dem Router verbunden ist.
Tabelle 10, Tabelle 11und Tabelle 12 listen die Einstellungen für die Beispieltopologie auf.
| Eigenschaft | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, verbindet Switch 1 mit Switch 3 ge-0/0/5.0, verbindet Switch 1 mit Switch 2 |
Isolierte Schnittstellen im primären VLAN |
ge-0/0/15.0, Mailserver ge-0/0/16.0, Backup-Server |
Schnittstellen im VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen im VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Eigenschaft | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, verbindet Switch 2 mit Switch 3 ge-0/0/5.0, verbindet Switch 2 mit Switch 1 |
Isolierte Schnittstelle im primären VLAN |
ge-0/0/17.0, CVS-Server |
Schnittstellen im VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen im VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Eigenschaft | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, verbindet Switch 3 mit Switch 1 ge-0/0/1.0, verbindet Switch 3 mit Switch 2 |
Promiscuous Port |
ge-0/0/2verbindet das PVLAN mit dem Router HINWEIS:
Sie müssen den Trunk-Port, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLAN verbindet, als Mitglied des PVLAN konfigurieren, wodurch er implizit als promiscuous Port konfiguriert wird. |
Topologie
Konfigurieren eines PVLAN auf Switch 1
Bei der Konfiguration eines PVLAN auf mehreren Switches gelten folgende Regeln:
Das primäre VLAN muss ein getaggtes VLAN sein. Wir empfehlen, das primäre VLAN zuerst zu konfigurieren.
Wenn Sie eine Community-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren. Sie müssen auch das primäre VLAN mit der pvlan-Anweisung so konfigurieren, dass es privat ist.
Wenn Sie eine Isolations-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
CLI-Schnellkonfiguration
Um schnell ein PVLAN zu erstellen und zu konfigurieren, das mehrere Switches umfasst, kopieren Sie die folgenden Befehle und fügen sie in das Terminalfenster von Switch 1 ein:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Verfahren
Schritt-für-Schritt-Verfahren
Festlegen der VLAN-ID für das primäre VLAN:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Richten Sie die PVLAN-Trunk-Schnittstellen ein, um dieses VLAN über benachbarte Switches zu verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Legen Sie fest, dass das primäre VLAN als privat und ohne lokales Switching gilt:
[edit vlans] user@switch# set pvlan100 pvlan
Setzen Sie die VLAN-ID für das finance-comm Community-VLAN, das die Switches umspannt:
[edit vlans] user@switch# set finance-comm vlan-id 300
Konfigurieren sie Zugriffsschnittstellen für das finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das HR-Community-VLAN fest, das die Switches umspannt.
[edit vlans] user@switch# set hr-comm vlan-id 400
Konfigurieren sie Zugriffsschnittstellen für das hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die isolierte INTERSWITCH-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die die Switches umspannt:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Konfigurieren Sie die isolierten Schnittstellen im primären VLAN:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
HINWEIS:Wenn Sie einen isolierten Port konfigurieren, schließen Sie ihn als Mitglied des primären VLANs ein, konfigurieren ihn jedoch nicht als Mitglied eines Community-VLANs.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
pvlan;
isolation-vlan-id 50;
}
}
Konfiguration eines PVLAN auf Switch 2
CLI-Schnellkonfiguration
Um schnell ein privates VLAN zu erstellen und zu konfigurieren, das mehrere Switches umfasst, kopieren Sie die folgenden Befehle und fügen sie in das Terminalfenster von Switch 2 ein:
Die Konfiguration von Switch 2 ist dieselbe wie die Konfiguration von Switch 1, mit Ausnahme der Schnittstelle in der isolierten Interswitch-Domäne. Für Switch 2 ist ge-0/0/17.0die Schnittstelle .
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/17.0 isolated
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie ein PVLAN auf Switch 2, das mehrere Switches umfasst:
Setzen Sie die VLAN-ID für das finance-comm Community-VLAN, das die Switches umspannt:
[edit vlans] user@switch# set finance-comm vlan-id 300
Konfigurieren sie Zugriffsschnittstellen für das finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das HR-Community-VLAN fest, das die Switches umspannt.
[edit vlans] user@switch# set hr-comm vlan-id 400
Konfigurieren sie Zugriffsschnittstellen für das hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Festlegen der VLAN-ID für das primäre VLAN:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Legen Sie die PVLAN-Trunk-Schnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Legen Sie fest, dass das primäre VLAN als privat und ohne lokales Switching gilt:
[edit vlans] user@switch# set pvlan100 pvlan
Legen Sie die isolierte INTERSWITCH-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die die Switches umspannt:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
HINWEIS:Um einen isolierten Port zu konfigurieren, fügen Sie ihn als eines der Mitglieder des primären VLANs ein, konfigurieren ihn jedoch nicht als Teil eines der Community-VLANs.
Konfigurieren Sie die isolierte Schnittstelle im primären VLAN:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/17.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Konfiguration eines PVLAN auf Switch 3
CLI-Schnellkonfiguration
Um Switch 3 schnell als Verteilungs-Switch dieses PVLAN zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in das Terminalfenster von Switch 3 ein:
Die Schnittstelle ge-0/0/2.0 ist ein Trunk-Port, der das PVLAN mit einem Router verbindet.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50
Verfahren
Schritt-für-Schritt-Verfahren
Führen Sie das folgende Verfahren aus, um Switch 3 als Verteilungs-Switch für dieses PVLAN zu konfigurieren:
Setzen Sie die VLAN-ID für das finance-comm Community-VLAN, das die Switches umspannt:
[edit vlans] user@switch# finance-comm vlan-id 300
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Setzen Sie die VLAN-ID für das HR Community-VLAN, das die Switches umspannt:
[edit vlans] user@switch# set hr-comm vlan-id 400
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Festlegen der VLAN-ID für das primäre VLAN:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Legen Sie die PVLAN-Trunk-Schnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Legen Sie fest, dass das primäre VLAN als privat und ohne lokales Switching gilt:
[edit vlans] user@switch# set pvlan100 pvlan
Legen Sie die isolierte INTERSWITCH-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die die Switches umspannt:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
HINWEIS:Um einen isolierten Port zu konfigurieren, fügen Sie ihn als eines der Mitglieder des primären VLANs ein, konfigurieren ihn jedoch nicht als Teil eines der Community-VLANs.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 1 erstellt wurden
- Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 2 erstellt wurden
- Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 3 erstellt wurden
Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 1 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umfasst, auf Switch 1 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie den show vlans extensive Folgenden Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Das Vorhandensein von Pvlan-Trunk- und Inter-Switch-isolierten Feldern zeigt an, dass dieser PVLAN mehr als einen Switch umfasst.
Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 2 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umfasst, auf Switch 2 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie den show vlans extensive Folgenden Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 2 erstellt wurde und zeigt, dass es ein isoliertes VLAN, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Das Vorhandensein von Pvlan-Trunk- und Inter-Switch-isolierten Feldern zeigt an, dass dieser PVLAN mehr als einen Switch umfasst. Wenn Sie diese Ausgabe mit der Ausgabe von Switch 1 vergleichen, sehen Sie, dass beide Switches zum gleichen PVLAN (pvlan100) gehören.
Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 3 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umfasst, auf Switch 3 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie den show vlans extensive Folgenden Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass das PVLAN (pvlan100) auf Switch 3 konfiguriert ist und keine isolierten VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN enthält. Switch 3 fungiert jedoch als Verteilungs-Switch, sodass der Ausgang keine Zugangsschnittstellen innerhalb des PVLAN enthält. Es zeigt nur die Schnittstellen, die pvlan-trunk von Switch 3 zu den anderen Switches (Switch 1 und Switch 2) im selben PVLAN verbinden pvlan100 .
Beispiel: Konfigurieren eines privaten VLANs, das mehrere Switches mit einer IRB-Schnittstelle umspannt
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die private VLAN-Funktion (PVLAN) ermöglicht es einem Administrator, eine Broadcast-Domain in mehrere isolierte Broadcast-Subdomains aufzuteilen und im Wesentlichen ein VLAN in ein VLAN zu integrieren. Ein PVLAN kann mehrere Switches umfassen. In diesem Beispiel wird beschrieben, wie Sie ein PVLAN für mehrere Switches erstellen. In diesem Beispiel wird ein primäres PVLAN erstellt, das mehrere sekundäre VLANs enthält.
Genau wie normale VLANs sind PVLANs auf Layer 2 isoliert und erfordern normalerweise die Verwendung eines Layer-3-Geräts, wenn Sie den Datenverkehr weiterleiten möchten. Ab Junos OS 14.1X53-D30 können Sie eine integrierte Routing- und Bridging-Schnittstelle (IRB) verwenden, um Layer-3-Datenverkehr zwischen geräten zu leiten, die mit einem PVLAN verbunden sind. Die Verwendung einer IRB-Schnittstelle auf diese Weise kann es den Geräten im PVLAN auch ermöglichen, auf Layer 3 mit Geräten in einer anderen Community oder isolierten VLANs oder mit Geräten außerhalb des PVLAN zu kommunizieren. In diesem Beispiel wird auch veranschaulicht, wie eine IRB-Schnittstelle in eine PVLAN-Konfiguration einbezogen wird.
- Anforderungen
- Übersicht und Topologie
- Konfigurationsübersicht
- Konfigurieren eines PVLAN auf Switch 1
- Konfiguration eines PVLAN auf Switch 2
- Konfiguration eines PVLAN auf Switch 3
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei Switches der QFX- oder EX4600-Serie
Junos OS-Version mit PVLAN für QFX-Serie oder EX4600
Übersicht und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie möglicherweise aus Sicherheitsgründen einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. Dieses Konfigurationsbeispiel zeigt, wie Sie ein PVLAN mit mehreren Switches erstellen, wobei ein primäres VLAN zwei Community-VLANs (eines für HR und eines für Finanzen) und ein isoliertes Interswitch-VLAN (für den Mail-Server, den Backup-Server und den CVS-Server) enthält. Das PVLAN besteht aus drei Switches – zwei Zugangs-Switches und einem Verteilungs-Switch. Die Geräte im PVLAN sind auf Layer 3 miteinander und mit Geräten außerhalb des PVLAN über eine auf dem Verteilungs-Switch konfigurierte IRB-Schnittstelle verbunden.
Die isolierten Ports auf Switch 1 und Switch 2 verfügen nicht über Eine Layer-2-Konnektivität untereinander, obwohl sie in derselben Domäne enthalten sind. Siehe Grundlegendes zu privaten VLANs.
Abbildung 18 zeigt die Topologie für dieses Beispiel.
Tabelle 13, Tabelle 14und Tabelle 15 listen die Einstellungen für die Beispieltopologie auf.
| Eigenschaft | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
|
Interswitch-Verbindungsschnittstellen |
|
Isolierte Schnittstellen im primären VLAN |
|
Schnittstellen im VLAN |
|
Schnittstellen im VLAN |
|
| Eigenschaft | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
|
Interswitch-Verbindungsschnittstellen |
|
Isolierte Schnittstelle im primären VLAN |
|
Schnittstellen im VLAN |
|
Schnittstellen im VLAN |
|
| Eigenschaft | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
|
Interswitch-Verbindungsschnittstellen |
|
Promiscuous Port |
HINWEIS:
Sie müssen den Trunk-Port, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLAN verbindet, als Mitglied des PVLAN konfigurieren, wodurch er implizit als promiscuous Port konfiguriert wird. |
IRB-Schnittstelle |
Konfigurieren Sie uneingeschränktes Proxy-ARP auf der IRB-Schnittstelle, um eine ARP-Auflösung zu ermöglichen, sodass Geräte, die IPv4 verwenden, auf Layer 3 kommunizieren können. Für IPv6-Datenverkehr müssen Sie der Zieladresse explizit eine IRB-Adresse zuordnen, um eine ARP-Auflösung zu ermöglichen. |
Topologie
Konfigurationsübersicht
Bei der Konfiguration eines PVLAN auf mehreren Switches gelten die folgenden Regeln:
Das primäre VLAN muss ein getaggtes VLAN sein.
Das primäre VLAN ist das einzige VLAN, das Mitglied einer Interswitch-Link-Schnittstelle sein kann.
Bei der Konfiguration einer IRB-Schnittstelle in einem PVLAN gelten folgende Regeln:
Sie können unabhängig davon, wie viele Switches am PVLAN teilnehmen, nur eine IRB-Schnittstelle in einem PVLAN erstellen.
Die IRB-Schnittstelle muss Mitglied des primären VLANs im PVLAN sein.
Jedes Hostgerät, das auf Layer 3 verbunden werden soll, muss eine IP-Adresse der IRB als Standard-Gateway-Adresse verwenden.
Konfigurieren eines PVLAN auf Switch 1
CLI-Schnellkonfiguration
Um schnell ein PVLAN zu erstellen und zu konfigurieren, das mehrere Switches umfasst, kopieren Sie die folgenden Befehle und fügen sie in das Terminalfenster von Switch 1 ein:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50 set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Verfahren
Schritt-für-Schritt-Verfahren
Konfigurieren Sie die Schnittstelle xe-0/0/0 so, dass sie ein Trunk ist:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/5 so, dass sie ein Trunk ist:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs enthält:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 als Mitglied der Schnittstelle xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Erstellen Sie das Community-VLAN für die Finanzorganisation:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Erstellen Sie das Community-VLAN für die HR-Organisation:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Erstellen Sie das isolierte VLAN für die Mail- und Backup-Server:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Erstellen Sie das primäre VLAN und machen Sie die Community und isolierten VLANs Mitglieder davon:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Konfigurieren Sie VLAN 300 (das Community-VLAN) als Mitglied der Schnittstelle xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 300 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/15:
[edit interfaces] user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/16:
[edit interfaces] user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Konfiguration eines PVLAN auf Switch 2
CLI-Schnellkonfiguration
Um schnell ein privates VLAN zu erstellen und zu konfigurieren, das mehrere Switches umfasst, kopieren Sie die folgenden Befehle und fügen sie in das Terminalfenster von Switch 2 ein:
Die Konfiguration von Switch 2 ist mit Ausnahme des isolierten VLANs dieselbe wie die Konfiguration von Switch 1. Für Switch 2 ist xe-0/0/17.0 die isolierte VLAN-Schnittstelle .
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Verfahren
Schritt-für-Schritt-Verfahren
Konfigurieren Sie die Schnittstelle xe-0/0/0 so, dass sie ein Trunk ist:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/5 so, dass sie ein Trunk ist:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs enthält:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 als Mitglied der Schnittstelle xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Erstellen Sie das Community-VLAN für die Finanzorganisation:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Erstellen Sie das Community-VLAN für die HR-Organisation:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Erstellen Sie das isolierte VLAN für die Mail- und Backup-Server:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Erstellen Sie das primäre VLAN und machen Sie die Community und isolierten VLANs Mitglieder davon:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Konfigurieren Sie VLAN 300 (das Community-VLAN) als Mitglied der Schnittstelle xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 300 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/17:
[edit interfaces] user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Konfiguration eines PVLAN auf Switch 3
CLI-Schnellkonfiguration
Um Switch 3 schnell als Verteilungs-Switch dieses PVLAN zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in das Terminalfenster von Switch 3 ein:
Die Schnittstelle xe-0/0/2.0 ist ein Trunk-Port, der das PVLAN mit einem anderen Netzwerk verbindet.
[edit] [edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100 set vlans pvlan100 vlan-id 100 set interfaces irb unit 100 family inet address 192.168.1.1/24 set vlans pvlan100 l3-interface irb.100 set interfaces irb unit 100 proxy-arp unrestricted
Verfahren
Schritt-für-Schritt-Verfahren
Führen Sie das folgende Verfahren aus, um Switch 3 als Verteilungs-Switch für dieses PVLAN zu konfigurieren:
Konfigurieren Sie die Schnittstelle xe-0/0/0 so, dass sie ein Trunk ist:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/5 so, dass sie ein Trunk ist:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs enthält:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 als Mitglied der Schnittstelle xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/2 (die promiscuous-Schnittstelle), um ein Bündel zu sein:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie pvlan100 als Mitglied der Schnittstelle xe-0/0/2:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
Erstellen Sie das primäre VLAN:
[edit vlans] set vlans pvlan100 vlan-id 100
Erstellen Sie die IRB-Schnittstelle
irb, und weisen Sie ihr eine Adresse im Subnetz zu, die von den Geräten verwendet wird, die an die Switches 1 und 2 angeschlossen sind:[edit interfaces] set irb unit 100 family inet address 192.168.1.1/24
HINWEIS:Jedes Hostgerät, das Sie auf Layer 3 verbinden möchten, muss sich im selben Subnetz wie die IRB-Schnittstelle befinden und die IP-Adresse der IRB-Schnittstelle als Standard-Gateway-Adresse verwenden.
Vervollständigen Sie die IRB-Schnittstellenkonfiguration, indem Sie die Schnittstelle an das primäre VLAN
pvlan100binden:[edit vlans] set pvlan100 l3-interface irb.100
Konfigurieren Sie uneingeschränkte Proxy-ARP für jede Einheit der IRB-Schnittstelle, sodass die ARP-Auflösung für IPv4-Datenverkehr funktioniert:
[edit interfaces] set irb unit 100 proxy-arp unrestricted
HINWEIS:Da die Geräte in der Community und isolierte VLANs auf Layer 2 isoliert sind, ist dieser Schritt erforderlich, um eine ARP-Auflösung zwischen den VLANs zu ermöglichen, damit Geräte, die IPv4 verwenden, auf Layer 3 kommunizieren können. (Für IPv6-Datenverkehr müssen Sie der Zieladresse explizit eine IRB-Adresse zuordnen, um eine ARP-Auflösung zu ermöglichen.)
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
pvlan100{
vlan-id 100;
}
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 1 erstellt wurden
- Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 2 erstellt wurden
- Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 3 erstellt wurden
Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 1 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umfasst, auf Switch 1 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie den show vlans extensive Folgenden Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/15.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_xe-0/0/16.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/15.0*, untagged, access
xe-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/15.0__
__pvlan_pvlan100_xe-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Das Vorhandensein von Trunk- und Inter-Switch-isolierten Feldern zeigt an, dass dieser PVLAN mehr als einen Switch umfasst.
Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 2 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umfasst, auf Switch 2 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie den show vlans extensive Folgenden Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/17.0__, Created at: Wed Sep 16 23:19:22 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 2 erstellt wurde und zeigt, dass es ein isoliertes VLAN, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Das Vorhandensein von Trunk- und Inter-Switch-isolierten Feldern zeigt an, dass dieser PVLAN mehr als einen Switch umfasst. Wenn Sie diese Ausgabe mit der Ausgabe von Switch 1 vergleichen, sehen Sie, dass beide Switches zum gleichen PVLAN (pvlan100) gehören.
Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 3 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umfasst, auf Switch 3 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie den show vlans extensive Folgenden Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: hr-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: pvlan100, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass das PVLAN (pvlan100) auf Switch 3 konfiguriert ist und keine isolierten VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN enthält. Switch 3 fungiert jedoch als Verteilungs-Switch, sodass der Ausgang keine Zugangsschnittstellen innerhalb des PVLAN enthält. Es werden nur die Trunk-Schnittstellen angezeigt, die von Switch 3 zu den anderen Switches (Switch 1 und Switch 2) im selben PVLAN verbunden pvlan100 sind.
Beispiel: Konfigurieren eines privaten VLANs für mehrere Switches der EX-Serie
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die private VLAN-Funktion (PVLAN) auf den Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domain in mehrere isolierte Broadcast-Subdomänen aufzuteilen und im Wesentlichen ein VLAN in ein VLAN zu integrieren. Ein PVLAN kann mehrere Switches umfassen.
In diesem Beispiel wird beschrieben, wie Sie ein PVLAN für mehrere Switches der EX-Serie erstellen. In diesem Beispiel wird ein primäres PVLAN erstellt, das mehrere sekundäre VLANs enthält:
Die Konfiguration eines VoIP-VLANs (Voice over IP) auf PVLAN-Schnittstellen wird nicht unterstützt.
- Anforderungen
- Übersicht und Topologie
- Konfigurieren eines PVLAN auf Switch 1
- Konfiguration eines PVLAN auf Switch 2
- Konfiguration eines PVLAN auf Switch 3
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei Switches der EX-Serie
Junos OS Version 10.4 oder höher für Switches der EX-Serie
Stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben, bevor Sie mit der Konfiguration eines PVLAN beginnen. Siehe Konfigurieren von VLANs für Switches der EX-Serie.
Übersicht und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie möglicherweise aus Sicherheitsgründen einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. Dieses Konfigurationsbeispiel zeigt, wie Sie ein PVLAN für mehrere Switches der EX-Serie erstellen, wobei ein primäres VLAN zwei Community-VLANs (eines für HR und eines für finanzen) und ein isoliertes Interswitch-VLAN (für den Mail-Server, den Backup-Server und den CVS-Server) enthält. Der PVLAN besteht aus drei Switches, zwei Zugangs-Switches und einem Verteilungs-Switch. Der PVLAN ist über einen promiscuous Port mit einem Router verbunden, der auf dem Verteilungs-Switch konfiguriert ist.
Die isolierten Ports auf Switch 1 und Auf Switch 2 verfügen nicht über Layer-2-Konnektivität zueinander, obwohl sie in derselben Domäne enthalten sind. Weitere Informationen finden Sie unter Grundlegendes zu privaten VLANs.
Abbildung 19 zeigt die Topologie für dieses Beispiel– zwei Zugriffs-Switches, die eine Verbindung zu einem Verteilungs-Switch herstellen, der (über einen promiscuous Port) mit dem Router verbunden ist.
Tabelle 16, Tabelle 17und Tabelle 18 listen die Einstellungen für die Beispieltopologie auf.
| Eigenschaft | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, Verbindet Switch 1 mit Switch 3 ge-0/0/5.0, verbindet Switch 1 mit Switch 2 |
Schnittstellen im VLAN isolation |
ge-0/0/15.0, Mailserver ge-0/0/16.0, Backup-Server |
Schnittstellen im VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen im VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Eigenschaft | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, Verbindet Switch 2 mit Switch 3 ge-0/0/5.0, Verbindet Switch 2 mit Switch 1 |
Schnittstellen im VLAN isolation |
ge-0/0/17.0,CVS-Server |
Schnittstellen im VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen im VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Eigenschaft | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, Verbindet Switch 3 mit Switch 1 ge-0/0/1.0, verbindet Switch 3 mit Switch 2 |
Promiscuous Port |
ge-0/0/2, Verbindet das PVLAN mit dem Router HINWEIS:
Sie müssen den Trunk-Port, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLAN verbindet, als Mitglied des PVLAN konfigurieren, wodurch er implizit als promiscuous Port konfiguriert wird. |
Topologie
Konfigurieren eines PVLAN auf Switch 1
CLI-Schnellkonfiguration
Bei der Konfiguration eines PVLAN auf mehreren Switches gelten folgende Regeln:
Das primäre VLAN muss ein getaggtes VLAN sein. Wir empfehlen, das primäre VLAN zuerst zu konfigurieren.
Die Konfiguration eines VoIP-VLANs (Voice over IP) auf PVLAN-Schnittstellen wird nicht unterstützt.
Wenn Sie eine Community-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Wenn Sie eine Isolations-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Sekundäre VLANs und der PVLAN-Trunk-Port müssen mit einem einzigen Commit festgelegt werden, wenn MVRP auf dem PVLAN-Trunk-Port konfiguriert ist.
Um schnell ein PVLAN zu erstellen und zu konfigurieren, das mehrere Switches umfasst, kopieren Sie die folgenden Befehle und fügen sie in das Terminalfenster von Switch 1 ein:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Verfahren
Schritt-für-Schritt-Verfahren
Führen Sie die folgenden Konfigurationsschritte in der dargestellten Reihenfolge aus. Führen Sie auch alle Schritte aus, bevor Sie die Konfiguration in einem einzigen Commit festlegen. Dies ist der einfachste Weg, um Fehlermeldungen zu vermeiden, die durch einen Verstoß gegen eine der drei Regeln ausgelöst werden:
Wenn Sie eine Community-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Wenn Sie eine Isolations-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Sekundäre Vlans und ein PVLAN-Trunk müssen auf einem einzigen Commit festgelegt werden.
So konfigurieren Sie ein PVLAN auf Switch 1, das mehrere Switches umfasst:
Festlegen der VLAN-ID für das primäre VLAN:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie die PVLAN-Trunk-Schnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Legen Sie fest, dass das primäre VLAN kein lokales Switching hat:
[edit vlans] user@switch# set pvlan100 no-local-switching
Setzen Sie die VLAN-ID für das finance-comm Community-VLAN, das die Switches umspannt:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Konfigurieren sie Zugriffsschnittstellen für das finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface interfacege-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das HR-Community-VLAN fest, das die Switches umspannt.
[edit vlans] user@switch# hr-comm vlan-id 400
Konfigurieren sie Zugriffsschnittstellen für das hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die isolierte ID zwischen dem Switch fest, um eine isolierte Domäne zwischen den Switches zu erstellen, die sich um die Switches erstreckt:
[edit vlans] user@switch# set pvlan100 isolation-id 50
HINWEIS:Um einen isolierten Port zu konfigurieren, fügen Sie ihn als eines der Mitglieder des primären VLANs ein, konfigurieren ihn jedoch nicht als zu einem der Community-VLANs.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 50;
}
}
Konfiguration eines PVLAN auf Switch 2
CLI-Schnellkonfiguration
Um schnell ein privates VLAN zu erstellen und zu konfigurieren, das mehrere Switches umfasst, kopieren Sie die folgenden Befehle und fügen sie in das Terminalfenster von Switch 2 ein:
Die Konfiguration von Switch 2 ist dieselbe wie die Konfiguration von Switch 1, mit Ausnahme der Schnittstelle in der isolierten Domäne zwischen Switches. Für Switch 2 ist ge-0/0/17.0die Schnittstelle .
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie ein PVLAN auf Switch 2, das mehrere Switches umfasst:
Setzen Sie die VLAN-ID für das finance-comm Community-VLAN, das die Switches umspannt:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Konfigurieren sie Zugriffsschnittstellen für das finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, finance-comm :
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das HR-Community-VLAN fest, das die Switches umspannt.
[edit vlans] user@switch# hr-comm vlan-id 400
Konfigurieren sie Zugriffsschnittstellen für das hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, hr-comm :
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Festlegen der VLAN-ID für das primäre VLAN:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie die PVLAN-Trunk-Schnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Legen Sie fest, dass das primäre VLAN kein lokales Switching hat:
[edit vlans] user@switch# set pvlan100 no-local-switching
Legen Sie die isolierte ID zwischen dem Switch fest, um eine isolierte Domäne zwischen den Switches zu erstellen, die sich um die Switches erstreckt:
[edit vlans] user@switch# set pvlan100 isolation-id 50
HINWEIS:Um einen isolierten Port zu konfigurieren, fügen Sie ihn als eines der Mitglieder des primären VLANs ein, konfigurieren ihn jedoch nicht als zu einem der Community-VLANs.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
no-local-switching;
isolation-id 50;
}
}
Konfiguration eines PVLAN auf Switch 3
CLI-Schnellkonfiguration
Um Switch 3 schnell als Verteilungs-Switch dieses PVLAN zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in das Terminalfenster von Switch 3 ein:
Die Schnittstelle ge-0/0/2.0 ist ein Trunk-Port, der das PVLAN mit einem Router verbindet.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Verfahren
Schritt-für-Schritt-Verfahren
Führen Sie das folgende Verfahren aus, um Switch 3 als Verteilungs-Switch für dieses PVLAN zu konfigurieren:
Setzen Sie die VLAN-ID für das finance-comm Community-VLAN, das die Switches umspannt:
[edit vlans] user@switch# finance-comm vlan-id 300
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, finance-comm:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Setzen Sie die VLAN-ID für das HR Community-VLAN, das die Switches umspannt:
[edit vlans] user@switch# hr-comm vlan-id 400
Legen Sie das primäre VLAN dieses sekundären Community-VLANs fest, hr-comm:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Festlegen der VLAN-ID für das primäre VLAN:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie die PVLAN-Trunk-Schnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Legen Sie fest, dass das primäre VLAN kein lokales Switching hat:
[edit vlans] user@switch# set pvlan100 no-local-switching
Legen Sie die isolierte ID zwischen dem Switch fest, um eine isolierte Domäne zwischen den Switches zu erstellen, die sich um die Switches erstreckt:
[edit vlans] user@switch# set pvlan100 isolation-id 50
HINWEIS:Um einen isolierten Port zu konfigurieren, fügen Sie ihn als eines der Mitglieder des primären VLANs ein, konfigurieren ihn jedoch nicht als zu einem der Community-VLANs.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
no-local-switching;
isolation-id 50;
}
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 1 erstellt wurden
- Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 2 erstellt wurden
- Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 3 erstellt wurden
Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 1 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umfasst, auf Switch 1 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie den show vlans extensive Folgenden Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Das Vorhandensein von und Inter-switch-isolated den pvlan-trunk Feldern zeigt an, dass dieser PVLAN mehr als einen Switch umfasst.
Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 2 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umfasst, auf Switch 2 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie den show vlans extensive Folgenden Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Das Vorhandensein von und Inter-switch-isolated den pvlan-trunk Feldern zeigt an, dass es sich um PVLAN handelt, das mehr als einen Switch umfasst. Wenn Sie diese Ausgabe mit der Ausgabe von Switch 1 vergleichen, sehen Sie, dass beide Switches zum gleichen PVLAN (pvlan100) gehören.
Überprüfen, ob die primären VLANs und sekundären VLANs auf Switch 3 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umfasst, auf Switch 3 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie den show vlans extensive Folgenden Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass das PVLAN (pvlan100) auf Switch 3 konfiguriert ist und zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Switch 3 fungiert jedoch als Verteilungs-Switch, sodass der Ausgang keine Zugangsschnittstellen innerhalb des PVLAN enthält. Es zeigt nur die Schnittstellen, die pvlan-trunk von Switch 3 zu den anderen Switches (Switch 1 und Switch 2) im selben PVLAN verbinden pvlan100 .
Beispiel: Konfigurieren von PVLANs mit sekundären VLAN-Trunk-Ports und promiscuous Access Ports auf einem Switch der QFX-Serie
Dieses Beispiel zeigt, wie Sie sekundäre VLAN-Trunk-Ports und promiscuous Access-Ports als Teil einer privaten VLAN-Konfiguration konfigurieren. Sekundäre VLAN-Trunk-Ports übertragen sekundären VLAN-Datenverkehr.
In diesem Beispiel wird Junos OS für Switches verwendet, die den ELS-Konfigurationsstil (Enhanced Layer 2 Software) nicht unterstützen. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Für ein bestimmtes privates VLAN kann ein sekundärer VLAN-Trunk-Port den Datenverkehr für nur ein sekundäres VLAN übertragen. Ein sekundärer VLAN-Trunk-Port kann jedoch den Datenverkehr für mehrere sekundäre VLANs übertragen, solange jedes sekundäre VLAN Mitglied eines anderen privaten (primären) VLANs ist. Ein sekundärer VLAN-Trunk-Port kann beispielsweise den Datenverkehr für ein Community-VLAN übertragen, das Teil des primären VLANs pvlan100 ist, und auch den Datenverkehr für ein isoliertes VLAN übertragen, das Teil des primären VLAN pvlan400 ist.
Um einen Trunk-Port zu konfigurieren, um sekundären VLAN-Datenverkehr zu übertragen, verwenden Sie die isolierten Anweisungen und interface Anweisungen, wie in den Schritten 12 und 13 der Beispielkonfiguration für Switch 1 dargestellt.
Wenn Datenverkehr von einem sekundären VLAN-Trunk-Port ausgeht, trägt er normalerweise das Tag des primären VLANs, dem der sekundäre Port angehört. Wenn Der Datenverkehr, der aus einem sekundären VLAN-Trunk-Port kommt, seinen sekundären VLAN-Tag beibehalten soll, verwenden Sie die Extend-secondary-vlan-id-Anweisung .
Ein promiscuous Access Port transportiert nicht getaggten Datenverkehr und kann nur Mitglied eines primären VLANs sein. Der Datenverkehr, der über einen promiscuous Access Port eintrifft, wird an die Ports der sekundären VLANs weitergeleitet, die Mitglieder des primären VLANs sind, dem der promiscuous Access-Port angehört. Dieser Datenverkehr transportiert die entsprechenden sekundären VLAN-Tags, wenn er von den sekundären VLAN-Ports ausgeht, wenn der sekundäre VLAN-Port ein Trunk-Port ist.
Um einen Zugriffsport so zu konfigurieren, dass er promiscuous ist, verwenden Sie die promiscuous-Anweisung , wie im Schritt 12 der Beispielkonfiguration für Switch 2 dargestellt.
Wenn der Datenverkehr über einen sekundären VLAN-Port eintrifft und an einem promiscuous Access Port austritt, wird der Datenverkehr beim Ausgehenden nicht markiert. Wenn getaggter Datenverkehr an einem promiscuous Access-Port eintrifft, wird der Datenverkehr verworfen.
- Anforderungen
- Übersicht und Topologie
- Konfiguration der PVLANs auf Switch 1
- Konfiguration der PVLANs auf Switch 2
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei QFX-Geräte
Junos OS Version 12.2 oder höher für die QFX-Serie
Übersicht und Topologie
Abbildung 20 zeigt die in diesem Beispiel verwendete Topologie. Switch 1 umfasst mehrere primäre und sekundäre private VLANs sowie zwei sekundäre VLAN-Trunk-Ports, die so konfiguriert sind, dass sekundäre VLANs übertragen werden, die Mitglieder der primären VLANs pvlan100 und pvlan400 sind.
Switch 2 umfasst dieselben privaten VLANs. Die Abbildung zeigt xe-0/0/0 auf Switch 2 wie mit promiscuous Access Ports oder promiscuous Trunk-Ports konfiguriert. Die hier enthaltene Beispielkonfiguration konfiguriert diesen Port als promiscuous Access-Port.
Die Abbildung zeigt auch, wie der Datenverkehr nach dem Eindringen auf die sekundären VLAN-Trunk-Ports auf Switch 1 fließen würde.
Tabelle 19 und Tabelle 20 listet die Einstellungen für die Beispieltopologie auf beiden Switches auf.
| Komponente | Beschreibung |
|---|---|
pvlan100, ID 100 |
Primäres VLAN |
pvlan400, ID 400 |
Primäres VLAN |
Comm300, ID 300 |
Community-VLAN, Mitglied von pvlan100 |
comm600, ID 600 |
Community-VLAN, Mitglied von pvlan400 |
isolation-vlan-id 200 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan100 |
isolation–vlan-id 500 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan400 |
xe-0/0/0,0 |
Sekundärer VLAN-Trunk-Port für primäre VLANs pvlan100 und pvlan400 |
xe-0/0/1,0 |
PVLAN-Trunk-Port für primäre VLANs pvlan100 und pvlan400 |
xe-0/0/2,0 |
Isolierter Access-Port für pvlan100 |
xe-0/0/3,0 |
Community Access Port für comm300 |
xe-0/0/5.0 |
Isolierter Access-Port für pvlan400 |
xe-0/0/6.0 |
Community-Trunk-Port für comm600 |
| Komponente | Beschreibung |
|---|---|
pvlan100, ID 100 |
Primäres VLAN |
pvlan400, ID 400 |
Primäres VLAN |
Comm300, ID 300 |
Community-VLAN, Mitglied von pvlan100 |
comm600, ID 600 |
Community-VLAN, Mitglied von pvlan400 |
isolation-vlan-id 200 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan100 |
isolation–vlan-id 500 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan400 |
xe-0/0/0,0 |
Promiscuous Access Port für primäre VLANs pvlan100 |
xe-0/0/1,0 |
PVLAN-Trunk-Port für primäre VLANs pvlan100 und pvlan400 |
xe-0/0/2,0 |
Sekundärer Trunk-Port für isoliertes VLAN, Mitglied von pvlan100 |
xe-0/0/3,0 |
Community Access Port für comm300 |
xe-0/0/5.0 |
Isolierter Access-Port für pvlan400 |
xe-0/0/6.0 |
Community Access Port für comm600 |
Konfiguration der PVLANs auf Switch 1
CLI-Schnellkonfiguration
Um die PVLANs auf Switch 1 schnell zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in ein Switch-Terminal-Fenster ein:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie private VLANs und sekundäre VLAN-Trunk-Ports:
Konfigurieren Sie die Schnittstellen und Portmodi:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Erstellen Sie die primären VLANs:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
HINWEIS:Primäre VLANs müssen immer mit VLANs getaggt werden, auch wenn sie nur auf einem Gerät vorhanden sind.
Konfigurieren Sie die primären VLANs als privat:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Konfigurieren Sie den PVLAN-Trunk-Port für die Übertragung des privaten VLAN-Datenverkehrs zwischen den Switches:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Erstellen Sie sekundäres VLAN comm300 mit VLAN-ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Konfigurieren Sie das primäre VLAN für comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Konfigurieren Sie die Schnittstelle für comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Erstellen Sie sekundäres VLAN comm600 mit VLAN-ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Konfigurieren Sie das primäre VLAN für comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Konfigurieren Sie die Schnittstelle für comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Konfigurieren Sie die isolierten Interswitch-VLANs:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
HINWEIS:Wenn Sie einen sekundären VLAN-Trunk-Port für die Übertragung eines isolierten VLANs konfigurieren, müssen Sie auch eine Isolation-vlan-id konfigurieren. Dies gilt auch dann, wenn das isolierte VLAN nur auf einem Switch vorhanden ist.
Aktivieren Sie den Trunk-Port xe-0/0/0, um sekundäre VLANs für die primären VLANs zu übertragen:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Konfigurieren Sie den Trunk-Port xe-0/0/0 für den Transport von Comm600 (Mitglied von pvlan400):
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
HINWEIS:Sie müssen xe-0/0/0 nicht explizit konfigurieren, um den isolierten VLAN-Datenverkehr (Tags 200 und 500) zu übertragen, da alle isolierten Ports in pvlan100 und pvlan400 – einschließlich xe-0/0/0.0 – automatisch in die isolierten VLANs einbezogen werden, die bei der Konfiguration
isolation-vlan-id 200erstellt wurden.isolation-vlan-id 500Konfigurieren Sie xe-0/0/2 und xe-0/0/6 für die Isolierung:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Ergebnisse
Überprüfen Sie die Konfigurationsergebnisse auf Switch 1:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Konfiguration der PVLANs auf Switch 2
Die Konfiguration für Switch 2 ist fast identisch mit der Konfiguration für Switch 1. Der bedeutendste Unterschied besteht darin, dass xe-0/0/0 auf Switch 2 als promiscuous Trunk-Port oder promiscuous Access-Port konfiguriert ist, wie Abbildung 20 zeigt. In der folgenden Konfiguration wird xe-0/0/0 als promiscuous Access Port für primäres VLAN pvlan100 konfiguriert.
Wenn der Datenverkehr an einem VLAN-fähigen Port eintrifft und an einem promiscuous Access-Port austritt, werden die VLAN-Tags beim Ausgehenden unterbrochen und der Datenverkehr wird an diesem Punkt nicht markiert. Der Datenverkehr für comm600 geht beispielsweise über den sekundären VLAN-Trunk-Port ein, der auf xe-0/0/0.0 auf Switch 1 konfiguriert ist, und überträgt den Tag 600, wenn er durch das sekundäre VLAN weitergeleitet wird. Wenn es von xe-0/0/0.0 auf Switch 2 austritt, wird es enttagt, wenn Sie xe-0/0/0.0 als promiscuous Access Port konfigurieren, wie in diesem Beispiel gezeigt. Wenn Sie stattdessen xe-0/0/0/0.0 als promiscuous Trunk-Port (Port-Mode-Trunk) konfigurieren, führt der Datenverkehr für comm600 sein primäres VLAN-Tag (400) aus, wenn er ausgeht.
CLI-Schnellkonfiguration
Um die PVLANs auf Switch 2 schnell zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle und fügen sie in ein Switch-Terminal-Fenster ein:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie private VLANs und sekundäre VLAN-Trunk-Ports:
Konfigurieren Sie die Schnittstellen und Portmodi:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Erstellen Sie die primären VLANs:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Konfigurieren Sie die primären VLANs als privat:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Konfigurieren Sie den PVLAN-Trunk-Port für die Übertragung des privaten VLAN-Datenverkehrs zwischen den Switches:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Erstellen Sie sekundäres VLAN comm300 mit VLAN-ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Konfigurieren Sie das primäre VLAN für comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Konfigurieren Sie die Schnittstelle für comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Erstellen Sie sekundäres VLAN comm600 mit VLAN-ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Konfigurieren Sie das primäre VLAN für comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Konfigurieren Sie die Schnittstelle für comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
-
Konfigurieren Sie die isolierten Interswitch-VLANs:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Konfigurieren Sie den Zugriffsport xe-0/0/0 für pvlan100 promiscuous:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
HINWEIS:Ein promiscuous Access Port kann nur Mitglied eines primären VLANs sein.
Konfigurieren Sie xe-0/0/2 und xe-0/0/6 für die Isolierung:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Ergebnisse
Überprüfen Sie die Konfigurationsergebnisse auf Switch 2:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen der Erstellung privater VLANs und sekundärer VLANs
- Überprüfen der Ethernet-Switching-Tabelleneinträge
Überprüfen der Erstellung privater VLANs und sekundärer VLANs
Zweck
Stellen Sie sicher, dass das primäre VLAN und die sekundären VLANs ordnungsgemäß auf Switch 1 erstellt wurden.
Aktion
Verwenden Sie den show vlans Folgenden Befehl:
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Bedeutung
Die Ausgabe zeigt, dass die privaten VLANs erstellt wurden und identifiziert die ihnen zugeordneten Schnittstellen und sekundären VLANs.
Überprüfen der Ethernet-Switching-Tabelleneinträge
Zweck
Stellen Sie sicher, dass die Ethernet-Switching-Tabelleneinträge für primäres VLAN pvlan100 erstellt wurden.
Aktion
Zeigen Sie die Ethernet-Switching-Tabelleneinträge für pvlan100 an.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0
Überprüfen, ob ein privates VLAN auf einem Switch funktioniert
Zweck
Stellen Sie nach dem Erstellen und Konfigurieren privater VLANs (PVLANs) sicher, dass diese richtig eingerichtet sind.
Aktion
So stellen Sie fest, ob Sie die primären und sekundären VLAN-Konfigurationen erfolgreich erstellt haben:
Für ein PVLAN auf einem einzigen Switch verwenden Sie den
show configuration vlansFolgenden Befehl:user@switch> show configuration vlans community1 { interface { interface a; interface b; } primary-vlan pvlan; } community2 { interface { interface d; interface e; } primary-vlan pvlan; } pvlan { vlan-id 1000; interface { isolated1; isolated2; trunk1; trunk2; } no-local-switching; }Verwenden Sie für ein PVLAN, das mehrere Switches umfasst, den show vlans
extensiveFolgenden Befehl:user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Verwenden Sie den
show vlansextensiveBefehl, um VLAN-Informationen und Verbindungsstatus für ein PVLAN auf einem einzelnen Switch oder für ein PVLAN mit mehreren Switches anzuzeigen.Für ein PVLAN auf einem einzigen Switch:
user@switch> show vlans pvlan extensive VLAN: pvlan, Created at: time 802.1Q Tag: vlan-id, Internal index: index-number, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) trunk1, tagged, trunk interface a, untagged, access interface b, untagged, access interface c, untagged, access interface d, untagged, access interface e, untagged, access interface f, untagged, access trunk2, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __pvlan_pvlan_isolated1__ __pvlan_pvlan_isolated2__ Community VLANs : community1 community2Für ein PVLAN mit mehreren Switches:
user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Verwenden Sie den
show ethernet-switching tableBefehl, um Protokolle für MAC-Lernen auf den VLANs anzuzeigen:user@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 1 learned VLAN MAC address Type Age Interfaces default * Flood - All-members pvlan * Flood - All-members pvlan MAC1 Replicated - interface a pvlan MAC2 Replicated - interface c pvlan MAC3 Replicated - isolated2 pvlan MAC4 Learn 0 trunk1 __pvlan_pvlan_isolated1__ * Flood - All-members __pvlan_pvlan_isolated1__ MAC4 Replicated - trunk1 __pvlan_pvlan_isolated2__ * Flood - All-members __pvlan_pvlan_isolated2__ MAC3 Learn 0 isolated2 __pvlan_pvlan_isolated2__ MAC4 Replicated - trunk1 community1 * Flood - All-members community1 MAC1 Learn 0 interface a community1 MAC4 Replicated - trunk1 community2 * Flood - All-members community2 MAC2 Learn 0 interface c community2 MAC4 Replicated - trunk1
Wenn Sie ein PVLAN konfiguriert haben, das mehrere Switches umfasst, können Sie denselben Befehl auf allen Switches verwenden, um die Protokolle auf MAC-Lernen auf diesen Switches zu überprüfen.
Bedeutung
In den Ausgabeanzeigen für ein PVLAN auf einem einzigen Switch sehen Sie, dass das primäre VLAN zwei Community-Domänen (community1 und community2), zwei isolierte Ports und zwei Trunk-Ports enthält. Das PVLAN auf einem einzigen Switch hat nur ein Tag (1000), das für das primäre VLAN ist.
Das PVLAN, das mehrere Switches umfasst, enthält mehrere Tags:
Die Community-Domain COM1 wird mit dem Tag 100identifiziert.
Die Community-Domain community2 wird mit dem Tag 20identifiziert.
Die isolierte Interswitch-Domäne wird mit Tag 50identifiziert.
Das primäre VLAN primary wird mit Tag 10identifiziert.
Auch für das PVLAN, das mehrere Switches umfasst, werden die Trunk-Schnittstellen als pvlan-trunkidentifiziert.
Fehlerbehebung bei privaten VLANs auf QFX-Switches
Verwenden Sie die folgenden Informationen zur Fehlerbehebung bei einer privaten VLAN-Konfiguration.
- Einschränkungen privater VLANs
- Weiterleitung mit privaten VLANs
- Ausgangs-Firewall-Filter mit privaten VLANs
- Ausgangs-Port-Spiegelung mit privaten VLANs
Einschränkungen privater VLANs
Die folgenden Einschränkungen gelten für private VLAN-Konfigurationen:
IGMP-Snooping wird von privaten VLANs nicht unterstützt.
Routing-VLAN-Schnittstellen werden auf privaten VLANs nicht unterstützt
Routing zwischen sekundären VLANs im selben primären VLAN wird nicht unterstützt.
Wenn Sie ein primäres VLAN in ein sekundäres VLAN ändern möchten, müssen Sie es zunächst in ein normales VLAN ändern und die Änderung bestätigen. Führen Sie beispielsweise folgendes Verfahren aus:
Ändern Sie das primäre VLAN in ein normales VLAN.
Commit der Konfiguration.
Ändern Sie das normale VLAN in ein sekundäres VLAN.
Commit der Konfiguration.
Folgen Sie derselben Commit-Sequenz, wenn Sie ein sekundäres VLAN in ein primäres VLAN ändern möchten. Das heißt, machen Sie das sekundäre VLAN zu einem normalen VLAN und bestätigen Sie diese Änderung, und ändern Sie dann das normale VLAN in ein primäres VLAN.
Weiterleitung mit privaten VLANs
Problem
Beschreibung
Wenn isolierter VLAN- oder Community-VLAN-getaggter Datenverkehr über einen PVLAN-Trunk-Port empfangen wird, werden MAC-Adressen aus dem primären VLAN gelernt. Das bedeutet, dass die Ausgabe des Befehls "Ethernet-Switching-Tabelle anzeigen " zeigt, dass MAC-Adressen aus dem primären VLAN gelernt und in sekundäre VLANs repliziert werden. Dieses Verhalten hat keine Auswirkungen auf die Weiterleitung von Entscheidungen.
Wenn ein Paket mit einem sekundären VLAN-Tag an einem promiscuous Port empfangen wird, wird es akzeptiert und weitergeleitet.
Wenn ein Paket an einem PVLAN-Trunk-Port empfangen wird und beide der unten aufgeführten Bedingungen erfüllt, wird es gelöscht.
Das Paket verfügt über einen Community-VLAN-Tag.
Das Paket ist an eine Unicast-MAC-Adresse oder eine Multicast-Gruppen-MAC-Adresse bestimmt, die in einem isolierten VLAN gelernt wurde.
Wenn ein Paket an einem PVLAN-Trunk-Port empfangen wird und beide der unten aufgeführten Bedingungen erfüllt, wird es gelöscht.
Das Paket verfügt über einen isolierten VLAN-Tag.
Das Paket ist an eine Unicast-MAC-Adresse oder eine Multicast-Gruppen-MAC-Adresse bestimmt, die in einem Community-VLAN gelernt wurde.
Wenn ein Paket mit einem primären VLAN-Tag von einem sekundären (isolierten oder gemeinschaftlichen) VLAN-Port empfangen wird, leitet der sekundäre Port das Paket weiter.
Wenn Sie ein Community-VLAN auf einem Gerät und ein anderes Community-VLAN auf einem zweiten Gerät konfigurieren und beide Community-VLANs dieselbe VLAN-ID verwenden, kann der Datenverkehr für eines der VLANs an das andere VLAN weitergeleitet werden. Nehmen Sie beispielsweise die folgende Konfiguration an:
Community-VLAN comm1 auf Switch 1 hat VLAN-ID 50 und ist Mitglied des primären VLAN pvlan100.
Community VLAN comm2 auf Switch 2 verfügt außerdem über VLAN-ID 50 und ist Mitglied des primären VLAN pvlan200.
Das primäre VLAN pvlan100 ist auf beiden Switches vorhanden.
Wenn Datenverkehr für comm1 von Switch 1 zu Switch 2 gesendet wird, wird er an die Ports gesendet, die an comm2 teilnehmen. (Der Datenverkehr wird erwartungsgemäß auch an die Ports in comm1 weitergeleitet.)
Lösung
Das sind erwartete Verhaltensweisen.
Ausgangs-Firewall-Filter mit privaten VLANs
Problem
Beschreibung
Wenn Sie einen Firewall-Filter in Der Ausgaberichtung auf ein primäres VLAN anwenden, gilt der Filter auch für die sekundären VLANs, die Mitglieder des primären VLANs sind, wenn der Datenverkehr mit dem primären VLAN-Tag oder dem isolierten VLAN-Tag geleitet wird, wie unten aufgeführt:
Datenverkehr, der von einem sekundären VLAN-Trunk-Port an einen promiscuous Port (Trunk oder Zugriff) weitergeleitet wird
Datenverkehr wird von einem sekundären VLAN-Trunk-Port, der ein isoliertes VLAN überträgt, an einen PVLAN-Trunk-Port weitergeleitet.
Datenverkehr, der von einem promiscuous Port (Trunk oder Zugriff) an einen sekundären VLAN-Trunk-Port weitergeleitet wird
Datenverkehr wird von einem PVLAN-Trunk-Port weitergeleitet. zu einem sekundären VLAN-Trunk-Port
Datenverkehr, der von einem Community-Port an einen promiscuous Port (Trunk oder Zugriff) weitergeleitet wird
Wenn Sie einen Firewall-Filter in der Ausgaberichtung auf ein primäres VLAN anwenden, gilt der Filter nicht für den Datenverkehr, der mit einem Community-VLAN-Tag ausgeht, wie unten aufgeführt:
Datenverkehr wird von einem Community Trunk-Port an einen PVLAN-Trunk-Port weitergeleitet
Datenverkehr wird von einem sekundären VLAN-Trunk-Port, der ein Community-VLAN überträgt, an einen PVLAN-Trunk-Port weitergeleitet
Datenverkehr, der von einem promiscuous Port (Trunk oder Zugriff) an einen Community Trunk-Port weitergeleitet wird
Datenverkehr wird von einem PVLAN-Trunk-Port weitergeleitet. zu einem Community-Trunk-Port
Wenn Sie einen Firewall-Filter in Ausgaberichtung auf ein Community-VLAN anwenden, gelten die folgenden Verhaltensweisen:
Der Filter wird auf den Datenverkehr angewendet, der von einem promiscuous Port (Trunk oder Zugriff) an einen Community-Trunk-Port weitergeleitet wird (weil der Datenverkehr mit dem Community-VLAN-Tag abfängt).
Der Filter wird auf den Datenverkehr angewendet, der von einem Community-Port an einen PVLAN-Trunk-Port weitergeleitet wird (weil der Datenverkehr mit dem Community-VLAN-Tag abfängt).
Der Filter wird nicht auf den Datenverkehr angewendet, der von einem Community-Port an einen promiscuous Port weitergeleitet wird (da der Datenverkehr mit dem primären VLAN-Tag oder ohne Tags erfolgt).
Lösung
Das sind erwartete Verhaltensweisen. Sie treten nur auf, wenn Sie einen Firewall-Filter auf ein privates VLAN in der Ausgaberichtung anwenden, und nicht, wenn Sie einen Firewall-Filter in der Eingaberichtung auf ein privates VLAN anwenden.
Ausgangs-Port-Spiegelung mit privaten VLANs
Problem
Beschreibung
Wenn Sie eine Port-Spiegelungskonfiguration erstellen, die privaten VLAN -Datenverkehr (PVLAN) am Ausgang spiegelt, hat der gespiegelte Datenverkehr (der an das Analysesystem gesendete Datenverkehr) das VLAN-Tag des Eingangs-VLANs anstelle des Ausgangs-VLANs. Nehmen Sie zum Beispiel die folgende PVLAN-Konfiguration an:
Promiscuous Trunk-Port, der die primären VLANs pvlan100 und pvlan400 enthält.
Isolierter Zugriffsport, der sekundäres VLAN isoliert200 führt. Dieses VLAN ist Mitglied des primären VLAN pvlan100.
Community-Port, der das sekundäre VLAN comm300 enthält. Dieses VLAN ist auch Mitglied des primären VLAN pvlan100.
Ausgabeschnittstelle (Monitorschnittstelle), die mit dem Analysesystem verbunden wird. Diese Schnittstelle leitet den gespiegelten Datenverkehr an den Analysator weiter.
Wenn ein Paket für pvlan100 auf dem promiscuous Trunk-Port eingeht und am isolierten Zugriffsport beendet wird, wird das ursprüngliche Paket beim Ausgang nicht markiert, da es auf einem Zugriffsport beendet wird. Die Spiegelkopie behält das Tag für pvlan100 jedoch bei, wenn es an den Analysator gesendet wird.
Hier ist ein weiteres Beispiel: Wenn ein Paket für comm300 über den Community-Port eingeht und auf dem promiscuous Trunk-Port ausgeht, trägt das ursprüngliche Paket das Tag für pvlan100 wie erwartet beim Ausgang. Die gespiegelte Kopie behält jedoch das Tag für comm300, wenn es an den Analysator gesendet wird.
Lösung
Dies ist ein erwartetes Verhalten.